DSGVO Verfehlung – Prüfer machen in Deutschland Ernst – Bußgeld über 14,5 Millionen verhängt

Am Dienstag, den 5. November wurde bekannt, dass die Deutsche Wohnen ein Rekordbußgeld von 14,5 Millionen Euro wegen Datenschutzverstößen zahlen muss, weil es rechtswidrig sensible Mieterdaten gespeichert haben soll. Laut der Berliner Datenschutzbeauftragten hatte das Unternehmen personenbezogene Daten zu den persönlichen und finanziellen Verhältnissen der Mieter gespeichert, wie Gehaltsbescheinigungen, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge. Nach Artikel 5 der Datenschutzgrundverordnung (DSGVO) ist dies nicht zulässig, da die Speicherung und Verarbeitung von Daten dem Zweck dienen muss, aus dem diese Daten erhoben worden. Deshalb müssen auch Daten von ehemaligen Mietern, die längst woanders wohnen, gelöscht werden. Im Fall der Deutschen Wohnen ist dies nicht geschehen. Diese Umstände fielen bereits bei einer Prüfung durch die Berliner Datenschutzbeauftragte im Jahr 2017 auf. Dem Unternehmen wurde da allerdings Zeit eingeräumt die Verstöße zu beseitigen. Mehr als eineinhalb Jahre später sei aber bei einer weiteren Prüfung festgestellt worden, dass kaum etwas passiert sei und es konnten zudem keine rechtlichen Argumente vorgewiesen werden, die eine Speicherung der Daten hätte rechtfertigen können.

Das Unternehmen habe Vorbereitungen für Löschungen getroffen, die aber nicht dafür gesorgt hätten, dass das Archiv in einen rechtskonformen Zustand überführt worden wäre. Diese Vorbereitungen sorgten immerhin dafür, dass die Landesdatenschutzbeauftragte unter dem möglichen Strafrahmen von 28 Millionen Euro blieb und der Deutschen Wohnen letztendlich ein Bußgeldbescheid in Höhe von 14,5 Millionen Euro zuging.

Laut Artikel 83 der DSGVO sind bei schwerwiegenden Verstößen gegen Artikel 25 Geldbußen von bis zu zwei Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens möglich.

Können eineinhalb Jahre ausreichen, um eine gesetzeskonforme Archivierung einzuführen?

Die Datenschutzexperten bei Netmail sagen: „Ja! Außerdem sind die Kosten für die Einführung eines gesetzeskonformen Archivs deutlich niedriger als ein mögliches Bußgeld von Zwei Prozent des Jahresumsatzes eines Unternehmens. Neben den Anforderungen der DSGVO müssen auch Vorgaben der GoBD und des Telekommunikationsgesetz erfüllt werden, die den Umgang und die separate Archivierung privater E-Mails vorgibt.“

Die Einführung eines gesetzeskonformen Archivs mit der Behebung von etwaigen Datenschutzverstößen ist eine große Herausforderung. Hierzu wird eine kompetente Beratung benötigt, die den Umgang mit Informationen im Unternehmen zukunftssicher und gesetzeskonform aufstellt. Daten und Archive müssen häufig für die gesetzeskonforme Archivierung in neue Systeme migriert werden, was entsprechend professionelle Dienstleister voraussetzt, die solche Migrationen erfolgreich umsetzen können. Der wichtigste Aspekt ist schlussendlich die Software, die Funktionen mitbringen muss, um auch wirklich alle gesetzlichen Anforderungen zu erfüllen.

Auf dem Markt gibt es nur wenige Unternehmen, die ihren Kunden ermöglichen alle drei Aspekte aus einer Hand zu bekommen. Netmail ist eines der wenigen Unternehmen, die ihren Kunden genau diese Vorteile bieten. Ein über Jahre erworbenes Knowhow im Datenschutzbereich und Informationsmanagement geht Hand in Hand mit der Erfahrung aus unzähligen Projekten z.B. Migrationen von E-Mail- und Archivsystemen. Diese Eigenschaften zusammen mit der funktionsstarken und prämierten Software Lösung NetGovern, ermöglicht es Netmail seine Kunden vollumfänglich zu unterstützen.

NetGovern bietet gesetzeskonforme Archivierung und ermöglicht Unternehmen Archivierungs- und Datenaufbewahrungsrichtlinien ganz nach den Bedürfnissen der Organisation zu erstellen. All das während 100-prozentige Aufbewahrung von Daten im voll indizierten Archiv gewährleistet ist. Herstellerneutral, Anwendungs- und Dateiformatunabhängig. So kann im Archiv aller elektronischen Daten des Unternehmens jederzeit gesucht und abgerufen werden.

Eine Archivlösung wie NetGovern, mit Informationsmanagement-Funktionen und Möglichkeiten für die Einhaltung gesetzlicher Aufbewahrungsfristen löst nahezu alle Herausforderungen, die mit professioneller Datenaufbewahrung verbunden sind. Die Nichteinhaltung der Aufbewahrungsfristen und die fehlende Löschung war genau das, was der Deutschen Wohnen fehlte, um das Rekordbußgeld zu vermeiden. Schlussendlich fehlte die Kontrolle über die eigenen Daten.

NetGovern sorgt dafür, dass Unternehmen die volle Kontrolle über Ihre Daten behalten. Die Informationen und Daten von Unternehmen müssen geprüft, durchsucht, verwaltet und geschützt werden können – unabhängig davon ob sie on-premise, in einer öffentlichen oder privaten Cloud liegen. NetGovern verbindet sich an eine Vielzahl gängiger Speicherorte und erlaubt dadurch transparente Suchen, Audits, Archivierung und Wiederherstellung von unstrukturierten Daten.

Gesetzeskonforme Archivierung und Microsoft Office 365

Viele Unternehmen sind der Annahme, dass es ausreichend ist mit Microsoft Office 365 zu arbeiten, um gesetzliche Anforderungen zu erfüllen. Dies ist ein weit verbreiteter Irrglaube. Bei der Umsetzung der gesetzlichen Anforderungen ausschließlich mit Office 365 Modulen gibt es eine Reihe von Herausforderungen, die auf den ersten Blick oft nicht ersichtlich sind. Mit Fokus auf die E-Mail-Kommunikation wird dies schnell klar. Die größte Hürde stellt hierbei die lückenlose, revisionssichere Aufbewahrung (Archivierung) von gesetzlich/steuerlich relevanten E-Mails und eine gleichzeitige Privatnutzung oder Duldung des Systems dar.

Hierfür zuerst eine Ausführung zu dem Exchange Online Archiv, welches Bestandteil des Exchange Online Plan 2 oder Office E3 Plans ist: Das Exchange Online Archiv ist kein E-Mail-Archiv im Sinne von Compliance. Auch wenn der Name anderes vermuten lässt, ist das Online Archiv Postfach lediglich ein weiteres Postfach, in welches der Anwender Nachrichten verschieben kann, oder per MRM auf Systemordner Regeln gesetzt werden können. Mit nahezu unlimitiertem Speicherplatz können im Archiv Postfach im Grunde lebenslang Daten aufbewahrt werden. Dies obliegt im ersten Schritt aber dem Anwender selbst, es sei denn es wird systemseitig auf Litigation Hold gesetzt bzw. mit einer Retention Policy belegt. Dann werden allerdings alle Daten, auch personenbezogene Daten, ohne Ausnahme aufbewahrt. Diese Option ist auch erst mit dem E2 Plan verfügbar. Compliance Themen werden über die Compliance Module in Verbindung mit E-Discovery, Retention Policies, Labels und weiteren durchgeführt.

Für eine gesetzeskonforme Compliance-Archivierung bedarf es jedoch großer Flexibilität und granularer Einstellmöglichkeiten bei der Kategorisierung der Daten und vor allem beim Zugriff (Suche & Prüfung) auf die E-Mail Nachrichten. Die Aufbewahrung von geschäftlichen Nachrichten und personenbezogenen Daten im gleichen System und gleichen Zugriffsmöglichkeiten ist problematisch. Personenbezogene und private Daten müssen vor unerlaubten Zugriff geschützt sein. Vor allem jedoch bei der Anforderung einer Löschung von ungerechtfertigt gespeicherten Daten (z.B. personenbezogenen Daten oder abgelehnter Bewerbungen) müssen sehr häufig selektive Löschungen von Nachrichten durchgeführt werden.

Um nicht die Anforderungen seitens GoBD an die Aufbewahrung der E-Mails zu unterlaufen, muss der Prozess protokolliert und in Zustimmung von z.B. der internen Revision & Rechtsabteilung oder Datenschützer durchgeführt werden. Eine Löschung von Daten im Exchange System lässt sich, wenn überhaupt, nur mit erheblichem Aufwand durchführen und ist keinesfalls für viele Mailboxen praktikabel durchführbar. Die Problematik liegt an der Arbeitsweise des sogenannten „Dumpster“ oder „Recoverable Items“-Bereiches im Exchange (Online). Dieser hält Nachrichten bei Setzen von Litigation Hold oder Retention Policies vor und verhindert ein Löschen von Nachrichten. Dies ist notwendig, um lückenlos und revisionssicher Nachrichten vorhalten zu können. Die Anforderungen seitens DSGVO beschreiben jedoch ein Recht auf Vergessen und hierdurch entstehen eine Menge an Prüfungsvorgängen.

Auch seitens der Unternehmen gibt es Gründe nicht benötigte und gewünschte Nachrichten, wie z.B. Phishing E-Mails oder Nachrichten mit Malware im Anhang, die am Gateway nicht erkannt wurden, aus den Postfächern zu löschen. Wenn nun Litigation Hold temporär von der Mailbox genommen wird oder die Retention Policy weggenommen wird, dürfen allerdings Nachrichten (z.B. abgelaufene Nachrichten) aus diesem Bereich unkontrolliert das System verlassen.

Was kann man tun, wenn man Office 365 einsetzt und sich absichern will?

Office 365 ist eine umfassende und gute Cloud-Lösung für Basis Infrastruktur Applikationen. Jedoch wird es immer Spezialanbieter und Lösungen geben, die sich auf bestimmte Problematiken und Herausforderungen fokussieren und letztlich bessere und notwendige Lösungen bieten. Ein Multifunktionsdrucker kann prinzipiell auch Drucken & Scannen und reicht für viele Privatanwender völlig aus. Trotzdem gibt es dedizierte Drucker und dedizierte Scanner, die in Unternehmen für umfassendere Anforderungen nicht wegzudenken sind. Auch bei DSGVO, Exchange Online und der Datenhaltung in Office 365 gibt es jede Menge Gründe für ergänzende Cloud-Lösungen von Drittanbietern wie Netmail. Denn NetGovern hilft dabei, genau die Lücken zu schließen, die bei der Verwendung von Office 365 auftreten.

NetGovern ist eine modular aufgebaute Software-Lösung, die neben dem Erfüllen der Anforderungen von gesetzlichen Vorgaben eine Vielzahl weiterer Vorteile mitbringt.

  • NetGovern Archive bietet einen umfangreichen Funktionsumfang für die gesetzeskonforme Archivierung und sorgt für optimierte und kostengünstige Datenhaltung.
  • NetGovern eDiscovery ermöglicht schnelle und ressourcensparende Bearbeitung von E-Discovery Anfragen durch Konnektivität an verschiedenste Datenquellen – ob on-premise oder in der Cloud.
  • NetGovern Audit & Remediate hilft bei der Verwaltung von sensiblen Daten, schafft optimalen Einblick für Auditoren und setzt auf intelligente Filterfunktionen auf Basis von KI.
  • NetGovern Encrypt schafft mit einem transparenten Verschlüsselungsprozess Sicherheit im täglichen E-Mail-Verkehr und ist auch für externe User durch das Encrypt Portal voll nutzbar.
  • NetGovern Analyze ermöglicht Unternehmen große Datenmengen zu verwalten. Durch Analyse und Evaluierung der Speicherorte wird ein strukturierter Einblick in unstrukturierte Daten möglich.
  • NetGovern Enforce automatisiert Aufgaben des Informationsmanagements, wie Einhalten von Richtlinien, Optimieren der Speicherumgebung und Wiederherstellung und Sicherung von Daten.

Die NetGovern Software ist auch als vollumfängliche Cloud-Lösung verfügbar und dient als optimale Ergänzung zu Office 365. Die Netmail Cloud bietet mit dem Office 365 Governance & Compliance Modul Datensicherheit, Backup und Restore Möglichkeiten sowie effiziente Verwaltung unstrukturierter Daten für Ihre Microsoft Teams, OneDrive und Sharepoint Systeme.

Mit dem richtigen Partner und der richtigen Software-Lösung können Unternehmen proaktiv handeln um die vielfältigen gesetzlichen Anforderungen zu erfüllen und Geldbußen von bis zu zwei Prozent des weltweit erzielten Jahresumsatzes zu vermeiden. Zusätzlich lassen sich durch die Wahl der richtigen Software noch weitere Vorteile nutzen, wie die Einsparung von Kosten und Ressourcen und die nachhaltige Optimierung von Prozessen. Die Wahl von Netmail als Partner und NetGovern als Software schließt außerdem Lücken, die die Verwendung von Office 365 in Unternehmen hinterlässt. Außerdem adressiert Netmail auch moderne Microsoft Lösungen zum kollaborativen Arbeiten, wie Teams. Auch für das gehypte Microsoft Teams sind Datenschutz, Backup und Wiederherstellung und generell die Erfüllung gesetzlicher Vorgaben wichtige Aspekte, die nur durch den Einsatz ergänzender Software in der Praxis auch umgesetzt werden können.

Das Unternehmen Netmail mit seiner Software-Lösung NetGovern wird genau dafür von seinen Kunden geschätzt. Die wichtigsten Aspekte aus einer Hand! Netmail zeichnet sich also besonders aus, durch die optimale Kombination von kompetenter Beratung, maßgeschneiderten Services und prämierten Software-Lösungen, gepaart mit jahrelanger Erfahrung und Expertise in Informations- und Datenmanagement.

Über die Netmail EMEA GmbH

Die Netmail EMEA GmbH, mit Sitz in Idstein im Herzen des Rhein-Main-Gebietes, ist Software-Hersteller, vertrauensvoller Partner für umfangreiche E-Mail- und Datenmigrationsprojekte sowie Anbieter von Cloud-Archivierungslösungen auf Enterprise Niveau. Mit unserem funktionsstarken NetGovern Software Stack bieten wir unseren Kunden Sicherheit und Compliance für Daten und Informationen, auf Basis intelligenter Information Governance Prinzipien. In einem stark wachsenden Markt können wir auf ein breites Erfahrungsspektrum setzen. Dies wird unterstrichen von über 3.000 zufriedenen Kunden weltweit.

Firmenkontakt und Herausgeber der Meldung:

Netmail EMEA GmbH
Itzbachweg 16-20
65510 Idstein
Telefon: 061265019563
http://netmail.com

Ansprechpartner:
Roman Jacobi
Leitung Cloud Business
Telefon: +49 (6126) 5019567
E-Mail: roman.jacobi@netmail.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel