Auch viele Jahre nach der Einführung der Datenschutz-Grundverordnung (LGPD) in Brasilien halten sich viele Unternehmen noch immer nicht an die Vorschriften. Das im September 2020 in Kraft getretene LGPD wurde mit dem Ziel geschaffen, die personenbezogenen Daten brasilianischer Bürger zu schützen und klare Regeln dafür festzulegen, wie Unternehmen diese Informationen erfassen, speichern und verarbeiten müssen. Trotz der inzwischen verstrichenen Zeit haben viele Unternehmen bei der Umsetzung des Standards nur geringe Fortschritte erzielt.
Vor Kurzem hat die Nationale Datenschutzbehörde (ANPD) ihre Überwachung von Unternehmen intensiviert, die keinen Datenmanager, auch Datenschutzbeauftragter (DPO) genannt, haben. Das Fehlen eines Datenschutzbeauftragten ist einer der wichtigsten festgestellten Verstöße, da dieser Fachmann unerlässlich ist, um sicherzustellen, dass das Unternehmen die LGPD-Vorschriften einhält. Der DSB fungiert als Vermittler zwischen dem Unternehmen, den betroffenen Personen und der ANPD. Er ist für die Überwachung der Einhaltung der Datenschutzrichtlinien und die Anleitung der Organisation zu Best Practices verantwortlich.
Und diese Daten sind möglicherweise nur die Spitze des Eisbergs. Tatsächlich weiß niemand, wie viele Unternehmen den Standard noch nicht übernommen haben. Es gibt keine offizielle Erhebung, die die genaue Zahl aller Unternehmen erfasst, die nicht LGPD-konform sind. Unabhängige Untersuchungen zeigen, dass der Prozentsatz im Allgemeinen zwischen 60 % und 70 % der brasilianischen Unternehmen, insbesondere bei kleinen und mittleren Unternehmen, schwanken kann. Bei großen Unternehmen liegt die Zahl sogar noch höher und erreicht 80 %.
Warum das Fehlen eines Datenschutzbeauftragten einen Unterschied macht
Im Jahr 2024 wird Brasilien mit Sicherheit die Zahl von 700 Millionen Cyberangriffen überschreiten. Schätzungsweise ereignen sich jede Minute fast 1.400 Betrugsfälle, und natürlich sind Unternehmen das Hauptziel der Kriminellen. Verbrechen wie Ransomware – bei denen Daten oft als „Geiseln“ gehalten werden und Unternehmen hohe Summen zahlen müssen, um die Veröffentlichung der Daten im Internet zu verhindern – sind an der Tagesordnung. Doch wie lange wird das System – Opfer und Versicherer – einer solchen Angriffswelle standhalten können?
Diese Frage lässt sich nicht angemessen beantworten, insbesondere wenn die Opfer selbst nicht die notwendigen Maßnahmen zum Schutz der Informationen ergreifen. Das Fehlen eines auf den Datenschutz spezialisierten Fachmanns oder in manchen Situationen, wenn die vermeintlich für den Bereich verantwortliche Person so viele Funktionen anhäuft, dass sie diese Tätigkeit nicht zufriedenstellend ausführen kann, verschlimmert diese Situation noch.
Natürlich löst die Benennung einer verantwortlichen Person allein nicht alle Compliance-Herausforderungen, zeigt aber, dass das Unternehmen entschlossen ist, eine Reihe von Praktiken zu strukturieren, die mit dem LGPD im Einklang stehen. Diese mangelnde Priorisierung spiegelt jedoch nicht nur die Möglichkeit von Sanktionen wider, sondern auch das reale Risiko von Sicherheitsvorfällen, die erhebliche Verluste verursachen werden. Die von der ANPD verhängten Geldbußen sind nur ein Teil des Problems, denn immaterielle Verluste, wie etwa der Verlust des Marktvertrauens, können noch schmerzhafter sein. In diesem Szenario wird eine intensivere Überwachung als notwendige Maßnahme angesehen, um die Mechanismen zur Einhaltung der Gesetzgebung zu stärken und Organisationen zu ermutigen, den Datenschutz der betroffenen Personen auf die Tagesordnung zu setzen.
Einen Datenschutzbeauftragten einstellen oder auslagern?
Die Einstellung eines Datenschutzbeauftragten in Vollzeit kann eine komplizierte Aufgabe sein, da nicht immer Bedarf oder Interesse daran besteht, diesem Bedarf interne Ressourcen zuzuweisen.
In diesem Sinne hat sich Outsourcing als Lösung für Unternehmen herausgestellt, die die gesetzlichen Bestimmungen wirksam einhalten möchten, aber nicht über die nötigen Strukturen oder Ressourcen verfügen, um ein multidisziplinäres Team mit Fokus auf Datenschutz zu unterhalten. Durch die Nutzung eines spezialisierten Dienstleisters erhält das Unternehmen Zugang zu Fachleuten, die mehr Erfahrung im Umgang mit LGPD-Anforderungen in verschiedenen Marktsektoren haben. Darüber hinaus beginnt das Unternehmen mit der Verantwortlichen eines externen Anbieters, den Datenschutz als einen in die Strategie integrierten Aspekt zu betrachten und nicht als ein einmaliges Problem, dem nur dann Beachtung geschenkt wird, wenn eine Meldung eingeht oder ein Datenleck auftritt.
Dies trägt zur Schaffung robuster Prozesse bei, ohne dass große Investitionen in die Rekrutierung, Schulung und Bindung von Talenten erforderlich sind. Das Outsourcing des Datenschutzbeauftragten geht über die bloße Ernennung einer externen Person hinaus. Der Anbieter stellt in der Regel fortlaufende Beratung bereit, führt Risikokartierungs- und Analyseaktivitäten durch, hilft bei der Entwicklung interner Richtlinien, führt Schulungen für Teams durch und überwacht die Entwicklung der ANPD-Gesetzgebung und -Vorschriften.
Darüber hinaus bietet ein Team den Vorteil, bereits über praktische Erfahrung zu verfügen. Dies verkürzt die Lernkurve und hilft, Vorfälle zu vermeiden, die zu Geldbußen oder Reputationsschäden führen könnten.
Wie weit reicht die Verantwortung des ausgelagerten DSB?
Es ist wichtig hervorzuheben, dass Outsourcing das Unternehmen nicht von seiner rechtlichen Verantwortung entbindet. Die Idee dahinter ist, dass das Unternehmen seiner Verpflichtung zur Gewährleistung der Sicherheit der von ihm erhobenen und verarbeiteten Daten nachkommt, da die brasilianische Gesetzgebung klarstellt, dass die Verantwortung für Vorfälle nicht allein bei der verantwortlichen Person liegt, sondern bei der gesamten Institution.
Outsourcing bietet professionelle Unterstützung, die die notwendigen Schritte versteht, um die Organisation mit dem LGPD in Einklang zu halten. Die Praxis, derartige Aufgaben an einen externen Partner zu delegieren, wird in anderen Ländern bereits übernommen, da der Datenschutz zu einem kritischen Punkt des Risikomanagements und der Unternehmensführung geworden ist. Die Europäische Union beispielsweise verpflichtet mit der Datenschutz-Grundverordnung viele Unternehmen zur Bestellung eines Datenschutzbeauftragten. Dort entschieden sich mehrere Unternehmen für das Outsourcing des Dienstes durch die Beauftragung spezialisierter Berater, wodurch dieSachverstandfür „Inhouse“, ohne dafür eine ganze Abteilung aufbauen zu müssen.
Die verantwortliche Person muss gemäß der Gesetzgebung die Autonomie haben, Fehler zu melden und Verbesserungen vorzuschlagen. Ein Teil der internationalen Richtlinien legt fest, dass der Fachmann frei von internem Druck sein muss, der seine Inspektionskapazität einschränkt. Beratungsunternehmen, die diesen Service anbieten, entwickeln Verträge und Arbeitsmethoden, die diese Art von Unabhängigkeit gewährleisten, indem sie eine transparente Kommunikation mit den Managern pflegen und klare Governance-Kriterien festlegen.
Dieser Mechanismus schützt sowohl das Unternehmen als auch den Fachmann, der die Freiheit haben muss, Schwachstellen aufzuzeigen, auch wenn dies den gängigen Praktiken innerhalb eines bestimmten Sektors oder einer bestimmten Abteilung widerspricht.
Die Intensivierung der Aufsicht durch die ANPD ist ein Zeichen dafür, dass die bisherige Toleranz einer härteren Haltung weicht. Wer sich jetzt gegen dieses Problem entscheidet, muss in nicht allzu ferner Zukunft möglicherweise mit schwerwiegenderen Konsequenzen rechnen.
Für Unternehmen, die einen sichereren Weg wählen möchten, ist Outsourcing eine Option, die Kosten, Effizienz und Zuverlässigkeit in Einklang bringt. Durch eine Partnerschaft dieser Art können Lücken im internen Umfeld geschlossen und eine Compliance-Routine aufgebaut werden, die das Unternehmen sowohl vor Sanktionen als auch vor Risiken schützt, die mit mangelnder Transparenz und Sicherheit der in seiner Verantwortung liegenden personenbezogenen Daten verbunden sind.
