Ein Jahr DSGVO – interessante Fehltritte und empfindliche Strafen

Am 25. Mai 2018 trat mit der EU-Datenschutzgrundverordnung (EU-DSGVO) das bisher umfangreichste Datenschutzgesetz weltweit in Kraft. Nun fragen wir uns: Was hat sich seither getan? Hat uns die befürchtete Abmahnwelle überrollt? Oder haben wir es hier mit viel Lärm um nichts zu tun? Ein Jahr später lässt sich sagen: Die Wahrheit liegt, wie so oft, irgendwo dazwischen. Bislang lassen sich zahlreiche Verstöße gegen die DSGVO feststellen – in Deutschland beispielsweise konnten bis dato 81 Fälle mit Strafen in Höhe von insgesamt 485.490 Euro verzeichnet werden. Auch europaweit hat die DSGVO ihre Spuren hinterlassen. Viele dieser Verstöße halten sich eher im kleinen Rahmen, doch es gab durchaus auch einige nennenswerte Fehltritte von Unternehmen mit hohen Geldstrafen. Micro Focus hat im Folgenden die fünf interessantesten Fälle zusammengestellt:

 

1/5: 50 Millionen Euro – Dem Internetgiganten Google geht es an den Kragen

Januar 2019

Die französische Datenschutzbehörde CNIL verhängte ihre erste DSGVO-Buße gegen Google und damit das bisher größte Bußgeld in der Geschichte des europäischen Datenschutzes: 50 Millionen Euro. Die Behörde wirft Google zwei Verstöße gegen die europäische DSGVO vor. Die wesentlichen Datenschutzinformationen seien auf mehrere Dokumente verteilt und könnten so von Laien gar nicht oder nur schwer gefunden werden. Das verstoße gegen das Prinzip der Transparenz. Des Weiteren sind die Angaben von Google, selbst wenn sie komplett aufgefunden wurden, zu ungenau, um dem Nutzer wirkliche Informationen über die Zwecke der Datenerhebung zu vermitteln. Darüber hinaus seien die Einstellungsfunktionen für personalisierte Werbung illegal. Die Beschwerde wurde von der Organisation Noyb und von der französischen Organisation La Quadrature du Net eingereicht. Neben dem aktuellen Vorgehen gegen Google hat Noyb kürzlich auch gegen große Streaming-Dienste wie Netflix, Apple Music, Amazon Prime und Spotify ähnliche Beschwerden eingereicht. Die Sanktionen könnten dabei theoretisch noch höher ausfallen als 50 Millionen Euro, da bis zu zwei Prozent des weltweit erzielten Jahresumsatzes als Strafmaß möglich sind.

 

2/5: Kein guter Handel – Knapp 1 Million Zloty Geldbuße für uneinsichtige Datenhändler

April 2019

Die polnische Datenschutzbehörde UODO verhängte gegen die Aktiengesellschaft Bisnode AB eine Geldbuße von 943.000 Zloty, was umgerechnet rund 220.000 Euro entspricht. Bei dem sanktionierten Unternehmen handelt es sich um einen Anbieter von digitalen Geschäftsinformationen, der personenbezogene Daten erhoben hatte, um sie in seiner eigenen Datenbank zu sammeln und für kommerzielle Zwecke zu verwenden. Seine Datensätze bezieht das Unternehmen aus öffentlich zugänglichen Quellen. Die Strafe erfolgte, weil das Unternehmen seinen Informationspflichten nicht nachgekommen war. Insgesamt sind fast sechs Millionen Datensätze betroffen. Laut Art. 14 DSGVO hätte das Unternehmen die betroffenen Personen über die Verwendung der Daten informieren müssen – und das in allen sechs Millionen Fällen. Wie sich in dem Verfahren herausstellte, haben die Verantwortlichen bewusst gehandelt und wissentlich betroffene Personen nicht über die Nutzung ihrer persönlichen Daten informiert. Dieser Umstand sowie die mangelnde Einsicht auf Seiten des Unternehmens hatten unmittelbaren Einfluss auf die Höhe der verhängten Strafe.

 

3/5: Sensible Patientendaten in den Händen falscher Ärzte?

Oktober 2018

Die portugiesische Datenschutzbehörde CNPD verhängt im Oktober 2018 die erste erhebliche Geldstrafe in Europa wegen eines Verstoßes gegen die DSGVO. Das Krankenhaus Barreiro Montijo bei Lissabon musste demnach insgesamt 400.000 Euro zahlen. Als Grund nannten die Datenschützer unter anderem, dass zu viele Menschen unberechtigten Zugang zu vertraulichen Patientendaten hatten. Der Krankenhausbetreiber habe dabei internen IT-Technikern »bewusst« und in voller Absicht Zugang zu Daten gewährt, die ausschließlich Ärzten zugänglich sein sollten. Darüber hinaus wurden insgesamt 985 aktive Nutzer als »Ärzte« im System registriert, obwohl 2018 nur 296 Ärzte im Krankenhaus arbeiteten. Dies begründete das Krankenhaus damit, dass im Rahmen eines Dienstleistungsvertrages temporäre Profile erstellt wurden, die die abweichenden Zahlen erklären würden.

 

4/5: Nicht zum Kuscheln aufgelegt – Deutschlands erste DSGVO-Sanktion

November 2018

Deutschland verhängte seine erste Geldbuße wegen Verletzung der DSGVO im November 2018. Die Social- und Dating-Website Knuddels.de meldete im September eine Datenschutzverletzung von 1,87 Millionen Kombinationen aus Benutzernamen und Passwörtern sowie 800.000 E-Mail-Adressen von Nutzern. Die Landesdatenschutzbehörde Baden-Württemberg stellte fest, dass die Webseite die Passwörter im Plaintext gespeichert hatte, was gegen die Richtlinie der DSGVO zur »Pseudonymisierung und Verschlüsselung personenbezogener Daten« verstoße. Aufgrund der Schnelligkeit bei der Meldung der Verletzung wies die Behörde jedoch gegenüber Knuddels eine deutliche Nachsicht auf. Darüber hinaus reagierte die Website prompt und informierte die betroffenen Nutzer postwendend. Die Geldbuße von 20.000 Euro fiel daher vergleichsweise gering aus.

 

5/5: Fragen kostet nichts? Das gilt nicht bei der DSGVO!

Dezember 2018

Im Mai 2018 bat das kleine Versandunternehmen Kolibri Image den Hessischen Beauftragten für Datenschutz um Rat. Das Unternehmen hatte einen seiner Dienstleister mehrmals um einen Vertrag zur Auftragsabwicklung gebeten, diesen aber nicht erhalten. Kolibri Image wollte sich bei der hessischen Datenschutzbehörde informieren, wie es weitergehen solle. Diese antwortete, dass beide Seiten verpflichtet seien, einen solchen Vertrag abzuschließen. Nicht nur der Dienstleister, sondern auch der Auftraggeber sei hier aus datenschutzrechtlichen Gründen in der Verantwortung. Das Unternehmen sei dabei verpflichtet, selbst eine entsprechende Vereinbarung zu verfassen und an den Dienstleister zur Unterschrift zu schicken. Entsprechende Vorlagen sind auf der Seite der Verwaltung zu finden. Am 17. Dezember 2018 verhängte der Staatskommissar eine Geldbuße von 5.000 Euro zuzüglich 250 Euro Gebühren. Er begründete die Entscheidung gegenüber Kolibri Image mit einem Verstoß gegen Art. 83 (4) DSGVO. Der Grundsatz »Fragen stellen kostet nichts« galt hier nicht.

 

Fazit

In der Anfangsphase der DSGVO war eine deutliche Schonzeit zu erkennen. Diese ist nun merklich vorbei. Die Abmahnungen nehmen zu und die Datenschutzbehörden verhängen höhere Sanktionen. Nach wie vor besteht das größte Problem der DSGVO darin, dass die Verordnung nicht zwischen dem örtlichen Sportverein und einem Großkonzern unterscheidet. Die Umsetzung ist mit einem erheblichen Aufwand verbunden und oft für kleinere Unternehmen nicht leicht zu bewältigen. Hohe Strafen wirken auf Unternehmen wie Facebook oder Google, die einen hohen Umsatz erzielen, zwar abschreckend, schaden ihnen aber in Anbetracht ihrer Kapitalrücklagen nur marginal. Anders sieht das oft bei kleinen und mittelständischen Unternehmen sowie Vereinen aus. Insgesamt lässt sich festhalten, dass aufgrund der zunehmenden Sanktionen das Bewusstsein für Datenschutz auf allen Seiten deutlich gesteigert ist. Dennoch besteht gerade auf der Seite der Großkonzerne, die mit Unmengen von persönlichen Daten jonglieren, sicherlich noch Verbesserungsbedarf in Bezug auf den Schutz unserer Daten.

 

646 search results for „DSGVO“

84 Prozent halten EU-DSGVO nicht für eine Verbesserung

Verbraucher sorgen sich dennoch um ihre persönlichen Daten. Unternehmen müssen für sichere und datenschutzkonforme Speicherung sorgen. SUSE, Anbieter von Enterprise Open Source-Lösungen, führte im April 2019 eine Google-Umfrage unter 2.000 erwachsenen Bundesbürgern durch, parallel dazu wurden auch Teilnehmer in Frankreich und dem Vereinigten Königreich befragt. Dabei zeigte sich, dass nur 16 Prozent der befragten Deutschen…

Ein Jahr DSGVO – mangelndes Wissen, viel zusätzliche Arbeit und dennoch Lücken

Ein Jahr lang ist die Datenschutzgrundverordnung (DSGVO) in Kraft und es bleibt noch viel zu tun. Erschreckend: Etwa ein Drittel der Führungskräfte (31 Prozent) weiß immer noch nicht, worum es in der DSGVO eigentlich geht. Zwei Prozent haben sogar noch nie davon gehört. Zu diesem Ergebnis kommt die aktuelle Business-Studie der Brabbler AG zu Messenger…

DSGVO: WhatsApp am Arbeitsplatz prominenter denn je – trotz hoher Aufwände

Seit dem 25. Mai 2018 ist die DSGVO jetzt in Kraft. Dem datenschutzrechtlich äußerst problematischen Einsatz von WhatsApp am Arbeitsplatz tut das aber keinen Abbruch – obwohl die Unternehmen viel Aufwand in die DSGVO stecken. Zu diesen Ergebnissen kommt eine aktuelle Studie der Brabbler AG. Nach 2018 hat der Spezialist für vertrauliche digitale Kommunikation Brabbler…

Ein Jahr EU-DSGVO: Umfrage: Noch großer Handlungsbedarf bei Umsetzung

Auch ein Jahr nach Ende der Übergangsfrist haben deutsche Unternehmen noch einiges zu tun, um die Anforderungen der Datenschutzgrundverordnung  (EU-DSGVO) vollständig zu erfüllen. Laut einer aktuellen Umfrage von TÜV SÜD sagt rund ein Drittel der Befragten, dass ihr Unternehmen die erforderlichen Maßnahmen nur teilweise (29 %) oder gar nicht (6 %) umgesetzt hat.   »Trotz…

DSGVO: Ein Jahr Datenschutzgrundverordnung

Fast 150.000 Anfragen und Beschwerden mit DSGVO-Bezug sind seit Mai 2018 bei Datenschutzbehörden in Europa aufgelaufen – davon rund 90.000 Benachrichtigung über Datenschutzverletzungen. Zum ersten Jahrestag der neuen europäischen Datenschutzvorschriften ziehen Andrus Ansip, Vizepräsident der Kommission und Kommissar für den digitalen Binnenmarkt‚ und Věra Jourová, Kommissarin für Justiz, Verbraucher und Gleichstellung, eine positive Bilanz: »Durch…

Ein Jahr EU-DSGVO: Herzlichen Glückwunsch! Aber was hat sich überhaupt geändert?

Wir zünden eine Geburtstagskerze an, bringen Licht ins Dunkle: Eine griffige Zusammenfassung der Änderungen und Konsequenzen der vor einem Jahr in Kraft getretenen Europäischen Datenschutzgrundverordnung sowie deren Bedeutung für alle Beteiligten [1]. Die Verantwortlichen – also jene, die die Datenschutzgrundverordnung anzuwenden haben – sollten inzwischen sicher sein, ihren Datenschutz rechtlich »in trockenen Tüchern« zu haben.…

Auswahl von Cloud-Anbietern und DSGVO: Fünf Tipps für klare Sicht in der Cloud

Die Nutzung von Cloudservices ist für viele Unternehmen eine betriebliche Notwendigkeit geworden. Werden personenbezogene Daten in die Cloud ausgelagert, gelten bei der Auswahl eines Cloudanbieters jedoch besondere Vorgaben durch die DSGVO. Um die Compliance-Vorgaben bestmöglich zu erfüllen, sollten Unternehmen einige wesentliche Punkte beachten. Für Cloudservices gilt das Modell der Shared Responsibility, das heißt, dass sowohl…

DSGVO: Steht Ihnen auch die Abmahnung bevor?

Rechtskonformes E-Mail-Marketing und Lead Management. Seit knapp einem Jahr ist die Datenschutzgrundverordnung (DSGVO) europaweit rechtskräftig. Jetzt drohen zahlreichen Unternehmen Abmahnungen und empfindliche Bußgelder, weil sie sich im Rahmen ihres E-Mail-Marketings und Lead Managements nicht an die datenschutzrechtlichen Vorgaben halten, so die Ergebnisse der E-Mail-Marketing-Benchmarks 2019 [1]. Laut der Studie arbeiten 18,3 Prozent der 5.037 befragten…

IT-Trends des Jahres 2019: DSGVO-Compliance, Privacy by Design, Multi-Faktor-Authentifizierung, BYOx-Security und Security-Automation

Studie: Digitalisierung ausbaufähig, intelligente Technologien im Kommen. Ihren Erfolg bei der Digitalisierung stufen Unternehmen in Deutschland, Österreich und der Schweiz wie im Vorjahr durchschnittlich als mittelmäßig ein [1]. Angesichts der großen Anstrengungen in diesem Bereich und der hohen Ausgaben für die Digitalisierung ist diese Bilanz ernüchternd. Als technologischer Trend zeigt sich, dass mehr als zwei…

Unternehmenswebsites im DSGVO-Dschungel

Warum eine automatisiert erstellte Datenschutzerklärung allein meist nicht ausreicht. Auch wenn die Datenschutzgrundverordnung, kurz DSGVO, bereits seit einigen Monaten gilt, existieren noch immer Unternehmenswebsites, die nicht den aktuellen Bestimmungen entsprechen. Um eine Website gesetzeskonform zu gestalten, reicht es nicht aus, eine allgemeine Datenschutzerklärung irgendwo zu kopieren oder automatisiert generieren zu lassen und dann auf der…

Weitere Artikel zu