• Tech & Tools

2 Jahre DSGVO

Eine gutgemeinte Zwischenbilanz

Das Wort Security in blau auf einem Bildschirm mit der elektronischen Hand darunter

Kaum eine EU-Verordnung hat deutsche und europäische Unternehmen so tiefgreifend beschäftigt wie die DSGVO. Egal ob Gesellschaft oder Start-up: Organisationen sind seit dem 25. Mai 2018 dazu verpflichtet, die Regeln zum Schutz persönlicher Daten umzusetzen. Das bedeutet mehr als nur einen Denkansatz für alle, die personenbezogene Daten speichern oder verarbeiten. Verstöße gegen Daten, die Betroffene schädigen könnten, müssen laut DSGVO den Behörden gemeldet werden. Während dadurch z.B. Cyberkriminalität reduziert werden kann, birgt die Verordnung auch weiterhin Gefahren für Betriebe, die die Verordnung nicht zufriedenstellend umgesetzt haben. In diesem Artikel finden Sie eine gutgemeinte Zwischenbilanz.

Eine erste Bestandsanalyse

Beginnen wir mit den Rekordhaltern: die "Deutsche Wohnen" wurde von den Berliner Datenschutzbehörden mit dem bisher höchsten Bußgeld bestraft: 14,5 Millionen Euro für die Benutzung eines Archivsystems, das keine Löschmöglichkeit von persönlichen Daten vorsehe. Eine schmerzhafte Strafe von 9,55 Millionen Euro wurde gegen das deutsche Telekommunikationsunternehmen 1&1 verhängt. Anrufer der Hotline mussten zur Identitätsfeststellung Name und Geburtsdatum angeben - Daten, die vom Unternehmen nicht gut genug geschützt wurden. International traf es weitere bekannte Namen wie die Hotelkette Marriot, Google oder British Airways.

Eine verlässliche Quelle ist die Webseite enforcementtracker.com wo, für alle zugänglich, zahlreiche Verstöße europaweit dokumentiert werden. Hier wurden zwischen Mai 2018 und Dezember 2019 stolze 168 Vergehen mit einem Volumen von 420 Millionen Euro dokumentiert. Doch wie ist es so weit gekommen?

Ein Rückblick

Wir schreiben das Jahr 2018, spezifisch ist es der 25. Mai. An diesem Tag tritt die DSGVO in Kraft. Schon jetzt wird sie als das „beste Datenschutzrecht“ der Welt bezeichnet. Das dürfte auch heute noch zutreffend sein. Der Datenschutz und die Privatsphäre sind stärker in den Fokus der breiten Öffentlichkeit gerückt. Unternehmen wurden gezwungen, datenschutzrechtliche Prozesse zu prüfen und sicher zu machen, was oft mit nicht unerheblichen Kosten verbunden war. Das Ziel der DSGVO war es, jedem Betroffenen umfangreiche Rechte zu geben, wie z.B. die Auskunft über gespeicherte Daten sowie die Löschung dieser Daten.

Es herrschte viel Verwirrung in den Wochen vor dem Stichtag - viele Datenschutzexperten wurden von ratlosen Kunden überrannt. Es wurde mit horrenden Strafen gedroht und vielen Unternehmen wurde Stück für Stück klar, dass eine Datenschutzerklärung auf der Webseite nicht ausreichend sein wird, um diese Strafen zu umgehen.

Verlauf der Meldungen und Strafen

Eine Frage stand sehr lange im Raum: wie werden Verstöße gemeldet? Wer ist die “Datenschutzpolizei”? Verstöße können einerseits von individuellen Personen, mit deren Daten nicht DSGVO-konform umgegangen wird, an die jeweils zuständige Datenschutzbehörde gemeldet werden. Dies war bei 66% der Verstöße der Fall. 22% der Fälle wurden von den Datenschutzbehörden aufgedeckt. Alternativ kann aber das Unternehmen, dass mit Daten arbeitet, sich selbst anzeigen. Das passiert entweder durch die Mitarbeiter (6%) oder durch das Unternehmen selbst (3%) – wie z.B. im Falle von Marriot International, Inc und British Airways. Obwohl sich das Strafmaß bei Selbstanzeige deutlich reduzierte, betrug es bisher zusammengefasst 315 Millionen Euro - der größte Anteil des Kuchens. Auch NGOs informierten in drei Fällen die Behörden. Erstmal klingt das nicht nach einer signifikanten Zahl, jedoch beträgt die Strafe hierfür 68 Millionen Euro.

Die Gründe für die Strafen sind unterschiedlich. Mehr als die Hälfte der bestraften Unternehmen sind nicht korrekt mit den Kundendaten umgegangen (z.B. schlecht geschütztes Speichern, keine Löschung, etc.), ein Drittel hat die Daten überhaupt ohne Genehmigung gesammelt und die verbleibenden knapp 20% haben keinen ausreichenden Schutz der Daten gewährleistet.

DSGVO in der Veranstaltungsbranche

Gerade in der Veranstaltungsbranche wird viel mit sensiblen Gästedaten gearbeitet. Teilnehmermanagement Systeme, wie z.B. MATE, verarbeiten im Rahmen der Durchführung von Veranstaltungen Informationen wie Gastname, E-Mail Adresse und z. B. bei Networking-Events auch Arbeitgeber. Hier ist also besondere Vorsicht geboten. Auch die Entwicklung von Zukunftstechnologien birgt viele Gefahren, z.B. beim Thema Gesichtserkennung. Die Erhebung biometrischer Daten, die mit einer Gesichtserkennungstechnologie erfolgt, ist erst einmal grundsätzlich verboten.

Doch Ausnahmen bestätigen auch hier die Regel. Dies ist der Fall, wenn die Erhebung im öffentlichen Interesse liegt, wie z.B. bei der Bekämpfung von Verbrechen. Hier ist es oft schwierig abzuwägen, welche Interessen (z.B. Polizei vs. Besucher) schwerer wiegen. Wichtig ist hierbei, dass die Ausnahme auch Ausnahme bleibt und nicht zur Regel wird.

Was kann ein Unternehmen tun, um DSGVO-sicher zu arbeiten?

Auf diese und andere Fragen zum Thema DSGVO geht unser Datenschutzexperte Sven Frauen in folgendem Interview ein.

Fazit

Die DSGVO kann definitiv als ein Meilenstein auf dem Weg zu mehr Schutz der persönlichen Daten gesehen werden. In den ersten zwei Jahren hat sich gezeigt: Viele Maßnahmen wurden bereits erfolgreich umgesetzt. Unternehmen mussten für Ihren unzureichenden Umgang mit Daten auch schon schmerzhafte Strafen zahlen. Doch wir stehen mit der Regelung erst am Anfang.

Auch die Veranstaltungsbranche ist hier gefordert und muss bei der Zusammenarbeit mit Drittanbietern besonders auf deren Umgang mit Daten achten. Zum Schutz Ihrer Teilnehmer.

Wie MATE mit Ihren Daten umgeht und warum Sie sich auf uns verlassen können, erfahren Sie hier.

MATE-Newsletter
Die neuesten Trends der Eventindustrie

Wir halten Sie über die Entwicklungen digitaler und analoger Veranstaltungstrends auf dem Laufenden. Den Newsletter gibt es einmal im Monat – voller Inspiration, ohne Spam!

Von Oliver Edwards

Content Marketing Freelancer, Konzepter, Event Consultant und Musiker in Berlin.

Kontakt: hello [at] oh-ed.com

Schwarz weiß Porträt des Autors Oliver

Weitere Beiträge

  • Green Events

    • Eventkonzept

    Viele Unternehmen stellen gerade Stück für Stück auf mehr Nachhaltigkeit um. Mit der Digitalisierung des Einladungs- und Teilnehmermanagements können auch Sie Ihre CO2-Emissionen deutlich …

    Holzbesteck aufbewahrt in Stoff
  • Covid19: Anwesenheitsdokumentation mit MATE

    • Teilnehmermanagement

    Deutschland öffnet sich! Das betrifft nicht nur die Grenzen zu unseren Nachbarländern, sondern auch Ämter & Kammern. Doch die Normalisierung ist an strenge Vorschriften gebunden. Wie MATE Ihnen …

    Blau weißer Header der IHK Würzburg mit dem Bild eines Empfanges hinterlegt
  • Guide zum perfekten Registrierungsformular

    • Teilnehmermanagement

    Registrierungsformulare sind die einfachste Möglichkeit zur ersten Kontaktaufnahme zwischen Kunden und Unternehmen. Wie Sie Ihr Formular perfektionieren und was Sie bei der Erstellung beachten müssen? …

    Lap Top steht auf einem Tisch zwischen einem Smartphone und Kopfhörern