Gemischte Erfahrungen - Ein Jahr DSGVO

Sanktionen mit Augenmaß

von - 23.05.2019
Belastung für Unternehmen
Belastung: Die DSGVO hat für fast 80 Prozent der Unternehmen zu mehr Aufwand im laufenden Betrieb geführt.
(Quelle: Bitkom (n=505 Unternehmen ab 20 Mitarbeitern) )
Trotz aller Unsicherheiten gibt es für Unternehmen keinen Grund zur Panik, denn in vielen Ländern der EU haben sich die Datenaufsichtsbehörden mit dem Verhängen von Strafen im ersten Jahr der DSGVO sehr zurückgehalten. In Österreich wurden laut Auskunft der österreichischen Datenschutzbehörde (DSB) gegenüber der Zeitung „Der Standard“ vier Geldbußen zwischen 300 und 4.800 Euro verhängt, drei davon aufgrund unzulässiger Videoüberwachung.
In Deutschland ergingen nach einer Umfrage des „Handelsblatts“ unter den Datenschutzbeauftragten der Länder bis Mitte Januar dieses Jahres 41 Bußgeldbescheide. Einer der bekanntesten Fälle ist die Chat-Plattform Knuddels.de mit Sitz in Karlsruhe, der bei einem Hackerangriff Login-Daten von mehr als 300.000 Nutzern gestohlen wurden. Obwohl das Unternehmen durch die Speicherung von Passwörtern im Klartext eklatant gegen Vorschriften der DSGVO verstoßen hatte, fiel die vom zuständigen Landesbeauftragten in Baden-Württemberg Stefan Brink verhängte Strafe mit 20.000 Euro recht milde aus. Das Unternehmen hätte in vorbildlicher Weise Datenverarbeitungsstrukturen und Versäumnisse offengelegt und innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung der IT-Sicherheit ergriffen, erklärte Brink: „Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen.“
Insgesamt verhängte der LfDI Baden-Württemberg 2018 Bußgelder von über 100.000 Euro. Es gehe aber nicht darum, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten, betont Brink: „Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die Nutzer.“ Der Datenschützer erwartet weitere Bußgeldbescheide in fünf- bis sechsstelliger Höhe. „Verfahren, die die Verhängung einer Geldbuße im Millionen-Euro-Bereich erwarten lassen, sind nicht anhängig.“
Diese Zurückhaltung der verantwort­lichen Stellen in Deutschland sei genau richtig, findet Karl-Heinz Wonsak, Security Solution Manager bei Axians IT Solutions, der bereits einige Projekte im Bereich Datenschutz und Datensicherheit betreut hat: „Es kann nicht das Ziel der Aufsichtsbehörden sein, die DSGVO konfrontativ durchzusetzen. Die Organisationen müssen vielmehr dazu befähigt werden, den Datenschutz in ihre Prozesse zu integrieren.“
Karl-Heinz Wonsak
Karl-Heinz Wonsak
Security Solution Manager bei Axians IT Solutions
www.axians.de
Foto: Axians
„Es kann nicht das Ziel der Aufsichtsbehörden sein, die DSGVO konfrontativ durchzusetzen.“
Nicht alle europäischen Aufsichtsbehörden waren allerdings so milde wie die österreichischen und die deutschen. So verhängte in Portugal die Datenschutzbehörde CNPD gegen das Krankenhaus Barreiro Montijo eine Geldbuße von 400.000 Euro, weil zahlreiche Unbefugte Zugriff auf Patientendaten hatten, die eigentlich nur von Ärzten einsehbar sein sollten.
Mehr als elf Millionen Euro betrug gar das Strafmaß, das die italienische Aufsichtsbehörde Garante gegen fünf Unternehmen aussprach. Um die Meldepflichten aus den Anti-Geld­wäsche-Gesetzen zu umgehen, hatten die Firmen große Geldbeträge auf viele kleine Überweisungen aufgeteilt und dafür die Daten von mehr als tausend Personen missbraucht, die sie ohne Wissen der Betroffenen kopierten Ausweispapieren entnommen hatten.
Was das Strafmaß betrifft, so hält aktuell die französische Datenschutzbehörde CNIL den Rekord. Sie will von Google wegen mangelnder Transparenz, unzureichender Aufklärung und einer fehlenden gültigen Zustimmung zur Personalisierung von Anzeigen 50 Millionen Euro kassieren. Die Entscheidung der CNIL im Januar 2019 kam kurz bevor Google sich dem Zugriff der nationalen Datenschutzbehörden weitgehend entziehen konnte. Mit Wirkung vom 22. Januar ist die Google Ireland Limited für die Verarbeitung personenbezogener Daten von Bürgern im Europäischen Wirtschaftsraum (EU plus Island, Liechtenstein und Norwegen) sowie der Schweiz zuständig und nicht mehr der US-Mutterkonzern.
Die DSGVO folgt dem „One-Stop-Shopping-Prinzip“ und sieht in Art. 56 Abs. 1 vor, dass für Unternehmen mit grenzüberschreitender Datenverarbeitung diejenige Aufsichtsbehörde zuständig ist, in deren Land sich die Hauptniederlassung befindet. Für Google ist nun also die irische Data Protection Commission als sogenannte „federführende Aufsichtsbehörde“ zuständig, die nicht gerade als besonders scharfe Verfechterin des Datenschutzes bekannt ist. Ob sich die CNIL mit ihrer Bußgeldforderung durchsetzt, müssen die Gerichte entscheiden. Google hat vor dem obersten französischen Verwaltungsgericht Berufung eingelegt.
Verwandte Themen