Entwicklungen zur DSGVO im Dezember

Erste Bußgelder und konkrete Prüfungen nach DSGVO

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Es geht bei der DSGVO nicht nur um die Einhaltung von Eckpunkten, sondern um die Beachtung sehr konkreter Vorgaben.
Es geht bei der DSGVO nicht nur um die Einhaltung von Eckpunkten, sondern um die Beachtung sehr konkreter Vorgaben. (© Stockwerk-Fotodesign - stock.adobe.com)

Die Zeit des Wartens ist vorbei: Das erste Bußgeld nach Datenschutz-Grundverordnung (DSGVO / GDPR) in Deutschland wurde verhängt. Die Aufsichtsbehörden für den Datenschutz führen zudem sehr konkrete Prüfungen durch. Für Unternehmen bietet dies eine Chance, ihre Datenschutzorganisation zu hinterfragen. Bedarf dafür gibt es weiterhin genug, wie Umfragen zur DSGVO zeigen.

Viele hatten erwartet, dass das erste Bußgeld nach Datenschutz-Grundverordnung (DSGVO / GDPR) in Deutschland ein Paukenschlag sein wird, um der DSGVO noch mehr Gehör zu verschaffen. Ein Bußgeld über viele Millionen Euro gegen einen großen Datenverarbeiter, so waren die Prognosen. Doch die Realität sieht anders aus, durchaus positiv für den Datenschutz.

Wegen eines Verstoßes gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit hatte die Bußgeldstelle des LfDI (Landesbeauftragter für Datenschutz und Informationsfreiheit) Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000 Euro verhängt.

Konzentration auf echte Datenschutz-Probleme!

Aktuelles zur DSGVO im November

Konzentration auf echte Datenschutz-Probleme!

27.11.18 - Die Aufregung um angebliche Datenschutz­probleme wegen Klingelschildern in den letzten Wochen ist ein gutes und gleichzeitig schlechtes Beispiel dafür, dass die DSGVO (Datenschutz-Grundverordnung) weiterhin missverstanden wird. Der Aufklärungsbedarf besteht nicht nur theoretisch, denn hohe Bußgelder werden durchaus verhängt. Dabei trifft es nicht nur Facebook. lesen

Ein solches Bußgeld wäre ohne weiteres auch nach dem alten Bundesdatenschutzgesetz möglich gewesen, der große Knall durch den höheren Bußgeldrahmen nach DSGVO blieb also aus. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, Dr. Brink.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink. Wie die Aufsichtsbehörde mitteilte, konnte man in konstruktiver Zusammenarbeit mit dem Unternehmen für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten sorgen.

Was kann man nun aus dem ersten Bußgeld lernen?

Datensicherheit ist Pflicht, Mängel können zu Bußgeldern führen und in der Öffentlichkeit bekannt werden: Das betroffene Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren.

Dem LfDI wurde bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten.

Man kann aber noch mehr lernen: Innerhalb des Bußgeldrahmens sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Bei der Bemessung der Geldbuße wurde neben der Kooperationsbereitschaft auch die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DSGVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein.

Unternehmen brauchen klare Datenschutzvorgaben

Aktuelles zur DSGVO im Oktober

Unternehmen brauchen klare Datenschutzvorgaben

25.10.18 - Im Gespräch mit Peter Schaar, Bundesdatenschutzbeauftragter a.D., wird deutlich: Die Aufsichtsbehörden und die zuständigen Ministerien müssen eine einheitliche, klare Linie verfolgen, damit die Unternehmen in Deutschland eine bessere Umsetzung der DSGVO (Datenschutz-Grundverordnung) erreichen können. Das entstehende Standard-Datenschutzmodell (SDM) kann dabei helfen. lesen

Die Aufsichtsbehörden prüfen gezielt und konkret

Eine weitere Entwicklung zur DSGVO in den letzten Wochen unterstreicht, dass die DSGVO auch in der Praxis vollständig umzusetzen ist. Es geht nicht nur um die Einhaltung von Eckpunkten, sondern um die Beachtung sehr konkreter Vorgaben. So folgen auf bestimmte Beschlüsse der Aufsichtsbehörden durchaus die entsprechenden Prüfungen, ob die Unternehmen sich auch daran halten und die DSGVO umsetzen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit zum Beispiel führt seit Anfang November 2018 Anhörungsverfahren bei Stellen der Berliner Landesverwaltung, bei den politischen Parteien sowie einer Reihe von Unternehmen und Organisationen aus der Handels-, Verlags- und Finanzbranche in Sachen Facebook-Fanpages durch.

150 niedersächsische Kommunen haben Post von der zuständigen Landesbeauftragten für den Datenschutz (LfD) erhalten. Die Aufsichtsbehörde prüft, wie gut die Städte und Gemeinden ihre Arbeit an die neuen Anforderungen angepasst haben und wo sie noch nachbessern müssen. Dafür sollen die Kommunen Fragen zu vier Bereichen des Datenschutzes beantworten: Organisation, datenschutzkonforme Verarbeitung, Umgang mit Betroffenenrechten sowie mit Datenschutzverletzungen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat seine Prüfaktivitäten wieder verstärkt aufgenommen und neue flächendeckende Datenschutz-Kontrollen in Bayern angestoßen. Im Fokus der aktuellen Prüfungen steht der sichere Betrieb von Online-Shops, der Schutz vor Verschlüsselungstrojanern in Arztpraxen, die Erfüllung der Rechenschaftspflicht bei Großkonzernen und mittelständischen Unternehmen sowie die Umsetzung der Informationspflichten in Bewerbungsverfahren.

Wie gezielt und konkret die laufenden Datenschutzkontrollen einzelner Aufsichtsbehörden sind, zeigt ein wacher Blick auf die Prüfungsliste des BayLDA:

  • Löschen von Daten bei ERP-Systemen (SAP)
  • Datenschutzverletzungen bei (Unter-)Auftragverarbeitern
  • Patch Management WordPress
  • Patch Management eCommerce-Systeme/Online-Shops (Magento)
  • Informationspflichten in Bewerbungsverfahren
  • Ransomware bei Arztpraxen
DSGVO – und jetzt?

eBook

DSGVO – und jetzt?

Die wichtigsten Änderungen: Was ist neu und was wurde verschärft? Praxishilfen: Leitlinien und bewährte Verfahren der Aufsichtsbehörden Konkretisierung: Neues Bundesdatenschutzgesetz ergänzt die DSGVO. weiter...

Viele Vorhaben betreffen den Datenschutz, Informationsbedarf weiterhin hoch

Ob Unternehmen, Behörden oder die Regierung neue Vorgaben planen, in aller Regel geht es um uns Menschen, als Kunden oder als Bürger, entsprechend müssen auch immer die Vorgaben des Datenschutzes berücksichtigt werden.

Aktuelle Beispiele sind die Ausweitung der Videoüberwachung, hierzu haben sich die Aufsichtsbehörden mit „Transparenzanforderungen und Muster für die Hinweisbeschilderung bei Videoüberwachung durch nicht-öffentliche Stellen unter der Geltung der DSGVO“ (pdf) zu Wort gemeldet.

Wie der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit schreibt, gibt es erhebliche Bedenken aus verfassungsrechtlicher wie auch aus datenschutzrechtlicher Sicht zum Gesetzentwurf der Bundesregierung, die Einhaltung von Verkehrsbeschränkungen für Diesel-Fahrzeuge mit der automatisierten Erfassung aller Verkehrsteilnehmer durch den Einsatz von intelligenter Videoüberwachungstechnik durchzusetzen.

Wer als Unternehmen neue Verfahren plant, tut ebenfalls gut daran, vorab an den Datenschutz zu denken. Tatsächlich besteht noch so großer Informationsbedarf, dass Aufsichtsbehörden bereits darauf hinweisen müssen: „Angesichts der zahlreichen Anfragen zur Datenschutz-Grundverordnung (DSGVO) setzt die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) ab sofort bei der Beratung verstärkt auf ihr Online-Angebot. Vereine werden über eine eigens dafür eingerichtete Hotline zunächst weiter telefonisch beraten.“

Security Insider wird weiterhin die Entwicklung beobachten, auf aktuelle Vorfälle und Beschlüsse hinweisen und versuchen, mit Hinweisen auf Tipps und Tools bei der Umsetzung der DSGVO zu unterstützen.

Aufsichtsbehörde warnt vor Fehlinformationen zur DSGVO

Aktuelles zur DSGVO im September

Aufsichtsbehörde warnt vor Fehlinformationen zur DSGVO

25.09.18 - Wirtschaftsverbände und Aufsichtsbehörden haben eine Zwischenbilanz zur Umsetzung der Datenschutz-Grundverordnung gezogen. Auch wenn noch einiges an Unklarheit herrscht, es geht voran mit der DSGVO. Wichtig ist es jedoch, sich richtig zu informieren. Dazu gehört es auch zu wissen, wie man auf eine mögliche Datenpanne oder Abmahnung reagieren sollte. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45643125 / Compliance und Datenschutz )