Ende Mai 2018 – erinnern Sie sich? Die Mailboxen quollen plötzlich wieder von E-Mails, in denen entweder verbrämt nach dem Einverständnis zur Datenverarbeitung gefragt oder forsch mit dem Ende aller Kommunikation gedroht wurde, über. Richtig, es war kurz vor DSGVO und Unternehmen und Organisationen aller Art suchten die drohende Klagewelle samt folgendem Ruin abzuwenden. Die Berichterstattung erreichte Jahr-2000-Level an Seriosität (kaum noch) und Hysterie (ganz viel). Horrorgeschichten über anonymisierte Klingelschilder in Mehrfamilienhäusern machten die Runde. Dann war der Stichtag da, ging vorbei und nun sind sogar 12 Monate vergangen – ohne Meldungen über aufgelöste Konzerne und in den Ruin getriebene Kaninchenzüchtervereine. War alles nur ein Sturm im Wasserglas?
Zum Glück nicht ganz. Viel der Pre-DSGVO Hysterie kam nun mal von falsch verstandenen oder völlig falsch interpretierten Auslegungen der tatsächlichen Vorgaben. Und, das darf man nicht vergessen, das bereits vorher geltende deutsche Bundesdatenschutzgesetz (BDSG) war an vielen Stellen sogar noch strenger als die EU-weite DSGVO. Eigentlich hätten deutsche Firmen von der DSGVO maximal unbeeindruckt sein können. Wenn sie das DSG denn vorher ernst genommen hätten, was praktisch keiner tat. Nur zur Erinnerung: Die DSGVO wird nicht wegen ihrer strengen Vorgaben gefürchtet, sondern wegen der nun möglichen Strafen (bis zu 4% Konzernumsatz). Und weil die Datenschutzbehörden direkt Strafen aussprechen können und, nicht wie früher, zuerst einen Prozess anstrengen müssen.
Was ist also in 12 Monaten DSGVO passiert? Kurz zusammengefasst: Nicht so viel. Bislang wurden in Deutschland 81 Verstoßfälle verzeichnet, mit einer Gesamthöhe von knapp 500.000 Euro Strafe. Richtig große Hämmer waren in punkto Folgen und Strafen also nicht dabei. Als British Airways im September 2018 gehackt wurde, dachten viele, dass hier das erste Exempel statuiert werden würde. Schließlich gehört Großbritannien nach wie vor zur EU. Doch bisher war das Ergebnis genau – nichts. In anderen Ländern wurde zumindest ansatzweise durchgegriffen. Das bisher größte Bußgeld traf Google in Frankreich: 50 Millionen Euro. Die Behörde wirft Google vor, dass die wesentlichen Datenschutzinformationen auf mehrere Dokumente verteilt sind und von Laien gar nicht oder nur schwer gefunden werden können. Bislang ist der Ausgang noch ungewiss. Google kann gegen die Entscheidung Berufung einlegen. Etwas geringer aber immer noch spürbar fiel die Strafe für einen polnischen Datenhändler aus. Die Datenschutzbehörde UODO verhängte gegen die Aktiengesellschaft Bisnode AB eine Geldbuße von rund 220.000 Euro, weil das Unternehmen seinen Informationspflichten nicht nachgekommen war. Im Verfahren wurde klar, dass die Verantwortlichen mit Vorsatz gehandelt und wissentlich betroffene Personen nicht über die Nutzung ihrer persönlichen Daten informiert hatten.
Deutschland reihte sich im November 2018 in die Reihe der DSGVO-Bestrafer ein. Die Website Knuddels.de meldete im September eine Datenschutzverletzung von 1,87 Millionen Kombinationen aus Benutzernamen und Passwörtern sowie 800.000 E-Mail-Adressen von Nutzern. Die Landesdatenschutzbehörde Baden-Württemberg stellte fest, dass die Webseite die Passwörter im Klartext gespeichert hatte, was gegen die Richtlinie der DSGVO zur „Pseudonymisierung und Verschlüsselung personenbezogener Daten" verstoße. Nur weil Knuddels.de schnell und transparent informierte kam sie mit 20.000 Euro Strafe sehr glimpflich davon.
Es gab in den letzten 12 Monaten noch eine Handvoll weiterer Verstöße, die großen, aufsehen erregenden Knaller waren nicht dabei. Vielleicht weil die Datenschutzbehörden erst einmal ein Gefühl für die Umsetzbarkeit der neuen Richtlinien bekommen wollten, vielleicht weil sie auch noch etwas Gnadenfrist im Sinn hatten. Ob nun strenger geahndet wird, werden die nächsten 12 Monate zeigen. Nach wie vor gibt es hohen Nachholbedarf bei der Umsetzung des Datenschutzes, auch wenn sich das Niveau insgesamt deutlich verbessert hat. Die Entscheidungen mit Augenmaß zeigen zumindest, dass die Behörden sehr wohl zwischen gewerblichen und vorsätzlichen Verstößen von Firmen sowie unabsichtlichen Fehlern gemeinnütziger Organisationen unterscheiden, auch wenn es die DSGVO eigentlich nicht tut. Es geht also spannend in die nächsten Monate, bisher herrschte noch die Ruhe vor dem Sturm.
Das könnte Sie auch interessieren:
NCP-Talk mit Chiara - duale Personalmanagement-Studentin
Erzähl uns ein bisschen von Dir: Mein Name ist Chiara und ich arbeite seit Oktober 2022 an der Seite unseres Management-Teams als duale Personalmanagement-Studentin. Das bedeutet, dass ich die Theorie in der Uni zeitgleich mit der Arbeit hier bei NCP verknüpfe und somit direkt ...
Sichere Remote-Zugriffe auf Cloud-Anwendungen
Auf die Cloud verzichtet kaum ein Unternehmen, aber wie lassen sich heterogene Umgebungen schützen? VPNs sind die beste Lösung für sichere Fernzugriffe.
Netzwerksegmentierung: Wie sichere Zonen Ihre IT schützen
Netzwerksegmentierung stoppt Hacker, schützt kritische Daten und vereinfacht die Compliance. Lesen Sie, wie Sie Ihr Netzwerk in sichere Zonen aufteilen.
