Sie sind hier: HomeTelekommunikation

Micro Focus: Ein Jahr DSGVO – Die 5 größten Fehltritte und höchsten Strafen

Fortsetzung des Artikels von Teil 2.

Fehltritt 4 und 5

4/5: Nicht zum Kuscheln aufgelegt – Deutschlands erste DSGVO-Sanktion
November 2018 – Deutschland verhängte seine erste Geldbuße wegen Verletzung der DSGVO im November 2018. Die Social- und Dating-Website Knuddels.de meldete im September eine Datenschutzverletzung von 1,87 Millionen Kombinationen aus Benutzernamen und Passwörtern sowie 800.000 E-Mail-Adressen von Nutzern. Die Landesdatenschutzbehörde Baden-Württemberg stellte fest, dass die Webseite die Passwörter im Plaintext gespeichert hatte, was gegen die Richtlinie der DSGVO zur „Pseudonymisierung und Verschlüsselung personenbezogener Daten" verstoße. Aufgrund der Schnelligkeit bei der Meldung der Verletzung wies die Behörde jedoch gegenüber Knuddels eine deutliche Nachsicht auf. Darüber hinaus reagierte die Website prompt und informierte die betroffenen Nutzer postwendend. Die Geldbuße von 20.000 Euro fiel daher vergleichsweise gering aus.

5/5: Fragen kostet nichts? Das gilt nicht bei der DSGVO! 
Dezember 2018 – Im Mai 2018 bat das kleine Versandunternehmen Kolibri Image den Hessischen Beauftragten für Datenschutz um Rat. Das Unternehmen hatte einen seiner Dienstleister mehrmals um einen Vertrag zur Auftragsabwicklung gebeten, diesen aber nicht erhalten. Kolibri Image wollte sich bei der hessischen Datenschutzbehörde informieren, wie es weitergehen solle. Diese antwortete, dass beide Seiten verpflichtet seien, einen solchen Vertrag abzuschließen. Nicht nur der Dienstleister, sondern auch der Auftraggeber sei hier aus datenschutzrechtlichen Gründen in der Verantwortung. Das Unternehmen sei dabei verpflichtet, selbst eine entsprechende Vereinbarung zu verfassen und an den Dienstleister zur Unterschrift zu schicken. Entsprechende Vorlagen sind auf der Seite der Verwaltung zu finden. Am 17. Dezember 2018 verhängte der Staatskommissar eine Geldbuße von 5.000 Euro zuzüglich 250 Euro Gebühren. Er begründete die Entscheidung gegenüber Kolibri Image mit einem Verstoß gegen Art. 83 (4) DSGVO. Der Grundsatz „Fragen stellen kostet nichts" galt hier nicht.

DSGVO (noch) mit Defiziten
In der Anfangsphase der DSGVO war eine deutliche Schonzeit zu erkennen. Diese ist nun merklich vorbei. Die Abmahnungen nehmen zu und die Datenschutzbehörden verhängen höhere Sanktionen. Nach wie vor besteht das größte Problem der DSGVO darin, dass die Verordnung nicht zwischen dem örtlichen Sportverein und einem Großkonzern unterscheidet. Die Umsetzung ist mit einem erheblichen Aufwand verbunden und oft für kleinere Unternehmen nicht leicht zu bewältigen. Hohe Strafen wirken auf Unternehmen wie Facebook oder Google, die einen hohen Umsatz erzielen, zwar abschreckend, schaden ihnen aber in Anbetracht ihrer Kapitalrücklagen nur marginal. Anders sieht das oft bei kleinen und mittelständischen Unternehmen sowie Vereinen aus. Insgesamt lässt sich festhalten, dass aufgrund der zunehmenden Sanktionen das Bewusstsein für Datenschutz auf allen Seiten deutlich gesteigert ist. Dennoch besteht gerade auf der Seite der Großkonzerne, die mit Unmengen von persönlichen Daten jonglieren, sicherlich noch Verbesserungsbedarf in Bezug auf den Schutz unserer Daten.