Menschen machen Fehler – das gilt auch für den Arbeitsplatz. Hier können allerdings selbst kleine Versäumnisse zu teuren Datenschutzverletzungen führen. Mitarbeiterfehler spielen beim Datenschutz in Unternehmen eine große Rolle. Im Jahr 2023 erleben wir ein Rekordhoch der Geldstrafen für Datenschutzverletzungen.
Unsere Erfahrung aus der Zusammenarbeit mit Tausenden von Unternehmen zeigt uns vor allem eins: Der Schutz personenbezogener Daten war noch nie so wichtig wie heute. Das liegt auch an der digitalen Landschaft, die sich ständig weiterentwickelt und in der Daten sehr wertvoll sind.
Die seit 2018 alleingültige Datenschutz-Grundverordnung (DSGVO) hat strenge Standards für den Schutz der Daten von Einzelpersonen festgelegt. Die Auswirkungen der DSGVO-Bußgelder gehen jedoch über die individuelle Ebene hinaus und überschreiten Organisationsgrenzen. Jede Organisation, unabhängig von ihrer Größe oder ihrem Standort, sollte sich darüber im Klaren sein, dass selbst kleine Fehler ihrer Beschäftigten zu erheblichen finanziellen Sanktionen führen können.
Die hohen Kosten von DSGVO-Verstößen
Um die Tragweite dieses Problems zu veranschaulichen, bietet es sich an, den zu betrachten. Demnach wurden im Jahr 2023 bereits 4 Milliarden Euro an Geldbußen wegen Verstößen gegen die DSGVO verhängt. Diese Summe ist ein Beleg für das unermüdliche Bestreben der Datenschutzbehörden weltweit, die Einhaltung der DSGVO sicherzustellen.
Während Tech-Giganten wie Meta, Amazon und Google Schlagzeilen mit hohen DSGVO-Strafen gemacht haben, ist es entscheidend zu erkennen, dass DSGVO-Verstöße Unternehmen jeder Größe betreffen. Der GDPR Enforcement Tracker meldet 37.850 Strafen von Juli 2018 bis Juni 2023.Das zeigt, dass selbst kleine Organisationen nicht vor den Folgen von Datenschutzverletzungen sicher sind.
Das gilt beispielsweise auch für FlexBooker: Das kleine Unternehmen für Terminverwaltung erlitt Anfang 2022 eine bedeutende Datenpanne, die etwa drei Millionen Nutzer betraf. Hacker, bekannt als Uawrongteam, nutzten die AWS-Konfiguration von FlexBooker aus und implantierten Malware auf ihren Servern, wodurch sie die volle Kontrolle über das System erlangten. Als Folge wurden sensible Informationen wie Ausweisdaten, Führerscheine und Passwörter gestohlen und auf Hacking-Foren verkauftDas führtezu finanziellen Verlusten, da zahlreiche Kunden die Plattform verließen.
Klassische Missgeschicke: Lektionen zur Einhaltung der DSGVO
Dokumentation und Richtlinien, die in der Regel von Koordinatoren für Datenschutz und Informationssicherheit beaufsichtigt werden, dienen als Ausgangspunkt, werden aber allein keinen organisatorischen Wandel bewirken.
Eine gemeinsame Studie von Jeff Hancock, Professor an der Stanford University, und dem Sicherheitsunternehmen Tessian hat ergeben, dass 88% der Datenschutzverletzungen auf Fehler der Beschäftigten zurückzuführen sind. Eine ähnliche Studie von IBM Security beziffert diese Zahl auf 95%. Nur 49% der Unternehmen haben in mindestens fünf der 10 Bereiche, die die britische Regierung als 10 Schritte zur Cybersicherheit empfiehlt, Maßnahmen ergriffen.
Nehmen wir das Beispiel eines Praktikanten, der in einer Marketing-Agentur arbeitet. Er verschickt eine E-Mail mit sensiblen Kundendaten, gibt aber versehentlich einen falschen Empfänger an.
Erstens: Viele Menschen wissen gar nicht, dass es sich in dieser Situation um eine Datenschutzverletzung handelt - warum sonst hört man so oft von Vorfällen, bei denen persönliche Daten oder Informationen erst Jahre später kompromittiert wurden?
Daher ist eine grundlegende Aufklärung über die Einhaltung der Vorschriften erforderlich, damit alle im Unternehmen ein entsprechendes Bewusstsein haben.
Zweitens: Selbst, wenn die Beschäftigten wissen, dass es sich um eine Datenschutzverletzung handelt - was gilt es, jetzt zu tun? Das ist in den meisten Fällen nicht allen Mitarbeitenden klar. Damit steigt das Risiko, dass der Verstoß nicht rechtzeitig gemeldet und ordnungsgemäß behandelt wird.
Datenschutzverletzungen und Vorfälle sind nur ein Beispiel. Ihre Beschäftigten stoßen bei der Erledigung ihrer täglichen Arbeit regelmäßig auf Hindernisse bei der Einhaltung von Datenschutz-Vorschriften. Das wirkt sich nicht nur auf die betriebliche Effizienz aus, sondern schützt Ihr Unternehmen auch vor Rufschädigung.
Die wichtigsten Erkenntnisse für Ihr Unternehmen
Die angeführten Beispiele zeigen, dass Verstöße gegen die DSGVO durch scheinbar harmlose Fehler entstehen können. Ob es sich um die versehentliche Aufnahme eines unbeabsichtigten Empfängers in eine CC-E-Mail handelt oder um die Nichteinhaltung der Feinheiten der Datenübertragungsvorschriften - die Folgen können schwerwiegend sein.
Unabhängig von ihrer Größe oder Reichweite müssen Unternehmen die Einhaltung der DSGVO als eine wesentliche Verpflichtung betrachten. Dazu gehören Mitarbeiterschulungen, solide Datenschutzrichtlinien und proaktive Compliance-Maßnahmen.
Sie möchten mehr über Datenschutz und Compliance im Unternehmen erfahren? Dann lesen Sie jetzt unseren Artikel zu den Datenschutz-Basics.
Wachsamkeit und Aufklärung sollten in jeder Organisation Priorität haben. Denn Unwissenheit in der datengetriebenen Welt von heute ist ein teures Risiko. Offiziell geregelt wird das in Art. 39 DSGVO, wonach die Aufgaben des Datenschutzbeauftragten (DSB) unter anderem Folgendes umfassen: "Sensibilisierung und Schulung der an der Verarbeitungsvorgängen beteiligten Mitarbeiter".
Sie können bereits heute damit beginnen, Ihre Beschäftigten über die DataGuard Academy zu schulen, eine E-Learning-Funktion auf unserer Plattform, die verschiedene interaktive Schulungen anbietet.