Achtung Satire!

So zahlt man die höchst­mögliche DSGVO-Strafe

| Autor / Redakteur: István Molnár / Peter Schmitz

Die DSGVO ist bisher eher zum Feindbild geworden. Unternehmen sehen in ihr nicht den vernünftigen Schritt in Richtung moderner Handhabung personenbezogener Daten.
Die DSGVO ist bisher eher zum Feindbild geworden. Unternehmen sehen in ihr nicht den vernünftigen Schritt in Richtung moderner Handhabung personenbezogener Daten. (Bild: Pixabay / CC0)

Die Datenschutz-Grundverordnung (DSGVO) gilt seit sieben Monaten EU-weit. Für Aufmerksamkeit sorgten die teils drastischen Strafen, die bei Datenschutz­verstößen drohen. Dennoch wissen viele Unternehmen noch immer nicht so recht, wie sie mit dem Thema umgehen sollen. Unser (nicht ganz ernst gemeinter) Tipp: Befolgen Sie diese simplen Schritte und Sie erreichen garantiert in kürzester Zeit die maximal mögliche Geldstrafe.

Dem Thema angemessen, möchte ich mit einem Haftungsausschluss beginnen. Dieser Artikel ist als Satire zu Panikmache und negativer Presse gedacht, die seit Start der EU-Datenschutz-Grundverordnung zuhauf im Umlauf sind. Hier soll es darum gehen, wie fahrlässig man sein muss und welche Fehltritte am besten dazu geeignet sind die maximale Strafe auch wirklich nach sich zu ziehen.

Um diesen Stoff sinnvoll anzugehen, springen wir direkt zu Artikel 83, Absatz 4 und 5. Hier finden wir zwei Kategorien mit jeweils unterschiedlichen Höchstbeträgen bei Geldbußen. Wir finden zusätzlich alle Anforderungen, die Sie missachten müssen, um ganz sicher bestraft zu werden. Gehen wir einfach jede einzelne durch. Dann bekommen Sie eine realistische Vorstellung davon, was Sie tun sollten, um die Anforderungen nicht zu erfüllen. Beginnen wir mit der niedrigeren der beiden Straf-Kategorien:

DSGVO – und jetzt?

eBook

DSGVO – und jetzt?

Die wichtigsten Änderungen: Was ist neu und was wurde verschärft? Praxishilfen: Leitlinien und bewährte Verfahren der Aufsichtsbehörden Konkretisierung: Neues Bundesdatenschutzgesetz ergänzt die DSGVO. weiter...

Stufe 1: Strafen zwischen 10 Millionen Euro und 2 Prozent des weltweiten Jahresumsatzes

Artikel 8: Ignorieren Sie die notwendige Einwilligung eines Kindes ab dem vollendeten 16. Lebensjahr komplett.

Artikel 11: Bewahren Sie alle noch so unwichtigen Daten auf, insbesondere diejenigen, die Sie nicht mehr brauchen.

Artikel 25: Maximieren Sie Ihre Datenerhebung. Erheben Sie alle möglichen Daten, selbst solche, die Sie für bestimmte Prozesse gar nicht benötigen. Stellen Sie sicher, dass alle Daten in einer ungesicherten Umgebung für so ziemlich jeden zugänglich sind. Sorgen Sie außerdem mit Nachdruck dafür, dass keine Daten verschlüsselt werden.

Artikel 26: Stellen Sie bei gemeinsamen Prozessen mit anderen Datenverantwortlichen sicher, dass Sie Verpflichtungen nicht offenlegen. Arbeiten Sie so isoliert wie möglich, und stellen Sie vor allem sicher, dass alle Prozesse möglichst intransparent und schwer nachzuvollziehen sind.

Artikel 27: Wenn Sie Ihren Firmensitz nicht in der EU haben, obwohl Ihr Zielkundenstamm sich dort befindet, ernennen Sie auf keinen Fall einen Vertreter in der EU!

Artikel 28: Wenn Sie Auftragsverarbeiter sind, stellen Sie sicher, keine Genehmigung des Verantwortlichen einzuholen. Niemals. Verzichten Sie darauf durchgeführte Prozesse zu dokumentieren. Verzichten Sie darauf verarbeitete Daten zu löschen, auch dann, wenn der Verantwortliche Sie dazu auffordert.

Artikel 29: Wenn Sie Daten unter Aufsicht des Verantwortlichen verarbeiten, verarbeiten Sie nicht nur die Daten, die Sie verarbeiten sollen, sondern möglichst viele weitere Daten. Halten Sie sich hier nicht unnötig zurück!

Artikel 30: Sorgen Sie dafür, dass Sie keine Aufzeichnungen zu den Verarbeitungsaktivitäten vorhalten, und wenn, dann sollten diese definitiv Folgendes nicht enthalten:

  • den Namen und die Kontaktdaten des Verantwortlichen
  • den Zweck der Verarbeitung
  • Kategorien betroffener Personen
  • Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
  • Daten zu Übermittlungen von personenbezogenen Daten an ein Drittland
  • Fristen für die Löschung
  • eine Allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen
Mit Datenschutz-Aufsichtsbehörden richtig kooperieren

Fragen zur Datenschutz-Grundverordnung

Mit Datenschutz-Aufsichtsbehörden richtig kooperieren

14.05.18 - Wenn es um die Datenschutz-Grundverordnung (DSGVO / GDPR) und Aufsichtsbehörden geht, denken viele Unternehmen zuerst an die möglichen Sanktionen und die enorme Höhe der Bußgelder, die da kommen könnten. Doch die Aufsichtsbehörden sollten nicht als reine Kontrollbehörden gesehen werden. Sie bieten vieles an Unterstützung, man sollte deshalb die Zusammenarbeit mit ihnen suchen. lesen

Artikel 31: Was auch immer Sie tun: Arbeiten Sie nicht mit der Aufsichtsbehörde zusammen! Antworten Sie nicht auf Anfragen und geben Sie auf keinen Fall Informationen weiter. Betrachten Sie es einfach als Ärgernis (das Sie ignorieren sollten).

Artikel 32: Verschlüsseln oder pseudonymisieren Sie niemals personenbezogene Daten. Vertraulichkeit, Integrität und Verfügbarkeit – alles nur Show. Je weniger Sie sich um die Sicherheit oder die Bürgerrechte Ihres Kunden kümmern, desto besser.

Artikel 33 und 34: Halten Sie alle Datenschutzverletzungen unter der Decke. Wenn niemand davon weiß, haben Sie nichts zu befürchten. Falls Sie eine Datenschutzverletzung doch melden:

  • Berücksichtigen Sie auf keinen Fall die Tatsache, dass Sie die Offenlegung hätten verhindern können, wenn Sie die gestohlenen Daten von vornherein durch starke Verschlüsselung unbrauchbar gemacht hätten.
  • Geben Sie an, dass Sie aus Zeitmangel nicht innerhalb von 72 Stunden einen Bericht haben erstellen können (obwohl Sie ihn Stück für Stück hätten liefern können).

Artikel 35: Warum sollten Sie sich um Datenschutz-Folgenabschätzungen scheren? Gleiches gilt für die Risikobewertung. Es reicht, wenn Sie das Gefühl haben, dass alle Ihre Prozesse und Abläufe ausreichend gesichert sind. Eine tatsächliche Auswertung oder Faktenprüfung ist nicht erforderlich.

Artikel 36: Konsultieren Sie niemals die Aufsichtsbehörde. Diese ist nur dazu da, Sie zu bestrafen. Es besteht kein Anlass, warum sie Ihnen helfen sollte.

Artikel 37, 38 und 39: Benötigen Sie wirklich dieses Datenschutzbeauftragten? Wenn Sie keinen benennen, sind Sie frei von diesem ganzen internen Druck, etwas ändern zu müssen, um konform zu sein.

Artikel 41, 42 und 43: Sorgen Sie dafür, dass Sie der Aufsichtsbehörde so viel Ärger wie möglich bereiten. Blockieren Sie deren Aktivitäten auf alle erdenklichen Weisen. Und sorgen Sie selbst dann, wenn Ihre DSGVO-Zertifizierung widerrufen wird, dafür, Prozesse genauso wie vorher durchzuführen.

Folgen Sie einfach diesen simplen Schritten und Sie sind auf dem besten Weg, eine Strafe von 2 Prozent Ihres Jahresumsatzes zu erhalten. Aber damit wollen wir es an dieser Stelle nicht bewenden lassen. Uns geht es schließlich um die Höchststrafe. Sehen wir uns also an, was zu tun ist um dieses ambitionierte Ziel zu erreichen.

Konzentration auf echte Datenschutz-Probleme!

Aktuelles zur DSGVO im November

Konzentration auf echte Datenschutz-Probleme!

27.11.18 - Die Aufregung um angebliche Datenschutz­probleme wegen Klingelschildern in den letzten Wochen ist ein gutes und gleichzeitig schlechtes Beispiel dafür, dass die DSGVO (Datenschutz-Grundverordnung) weiterhin missverstanden wird. Der Aufklärungsbedarf besteht nicht nur theoretisch, denn hohe Bußgelder werden durchaus verhängt. Dabei trifft es nicht nur Facebook. lesen

Stufe 2: Strafen zwischen 20 Millionen Euro und 4 Prozent des weltweiten Jahresumsatzes

Artikel 5: Missachten Sie alle Grundsätze für die Verarbeitung personenbezogener Daten.

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz sind nur naive Wünsche, die man als Firma getrost ignorieren sollte.
  • Warum sollten Sie Ihre Zwecke beschränken und die Datenerhebung minimieren? Sorgen Sie einfach dafür, dass Sie tun, was Sie tun wollen.
  • Warum sollten Sie sich darum kümmern, dass Ihre Daten präzise sind? Bringen Sie die erhobenen Daten nicht auf den neuesten Stand, sondern halten Sie diese so, wie sie sind.
  • Stellen Sie sicher, dass Sie alles für die Ewigkeit behalten, auch die Daten, die Sie nicht mehr brauchen oder die keinen zusätzlichen Zweck erfüllen.
  • Treiben Sie möglichst wenig Aufwand, um Datenintegrität und -vertraulichkeit zu gewährleisten. Niemand treibt gerne Mehraufwand um geschäftskritische Ressourcen zu sichern.
  • Drücken Sie sich vor der Verantwortung und stehen Sie nie für Ihre Fehler ein. Es ist schlicht falsch, alle Handlungen zu begründen, indem Sie sämtliche Prozesse und Abläufe dokumentieren.

Artikel 6: Diesen Artikel lesen Sie am besten gar nicht erst. Rechtfertigen, dass Ihre Organisation Daten verarbeitet um die Geschäftskontinuität zu gewährleisten? Wenn Sie so weit gekommen sind, geht es jetzt darum tatsächlich Bankrott anzumelden.

Artikel 7: Achten Sie darauf, die betroffenen Personen niemals um Einwilligung zu bitten oder ihnen zu erklären, was Sie mit ihren Daten tun werden. Es gibt kein Zurück! Sobald die betroffenen Personen einmal eingewilligt haben, bleiben Sie bei Ihrer Meinung. Unwiderruflich.

Artikel 9: Erheben Sie alle Daten – das ist auch so gemeint! Dinge wie ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit, genetische Daten, Sexualleben oder sexuelle Orientierung einer Person können Sie quasi umsonst und frei Haus bekommen. Achten Sie darauf, dass Sie selbst dann, wenn Sie diese Daten erheben dürfen, diese ausschließlich illegitim verwenden.

Artikel 12: An diesem Punkt haben wir bereits einige der hier aufgeführten Themen angesprochen. Stellen Sie einfach sicher, dass Sie gegenüber Ihren Kunden völlig intransparent bleiben, teilen Sie ihnen nicht mit, was Sie mit ihren Daten tun, und achten Sie darauf, dass alles, für das Sie die Daten verwenden, möglichst gegen Bürgerrechte verstößt.

Artikel 22: Automatisieren Sie vollständig alle die Prozesse, die zu Entscheidungen führen, ohne dass eine Person eingreifen kann. Wenn einer Ihrer Kunden mit den Ergebnissen nicht einverstanden ist, machen Sie sich nicht die Mühe, die Beweise im Falle eines Fehlers zu überprüfen.

Artikel 44: Wenn Sie personenbezogene Daten an Dritte außerhalb der EU übermitteln, achten Sie möglichst wenig darauf die DSGVO einzuhalten.

Artikel 49: Verzichten Sie auf die Einwilligung einer betroffenen Person, bevor Sie ihre Daten übermitteln. Übermitteln Sie personenbezogene Daten auf jeden Fall nur an Organisationen, die sämtliche DSGVO-Anforderungen und -Prinzipien missachten.

Befolgen Sie einfach diese simplen Schritte und Sie werden garantiert in kürzester Zeit die maximal mögliche Geldstrafe erreichen!

Aufsichtsbehörde warnt vor Fehlinformationen zur DSGVO

Aktuelles zur DSGVO im September

Aufsichtsbehörde warnt vor Fehlinformationen zur DSGVO

25.09.18 - Wirtschaftsverbände und Aufsichtsbehörden haben eine Zwischenbilanz zur Umsetzung der Datenschutz-Grundverordnung gezogen. Auch wenn noch einiges an Unklarheit herrscht, es geht voran mit der DSGVO. Wichtig ist es jedoch, sich richtig zu informieren. Dazu gehört es auch zu wissen, wie man auf eine mögliche Datenpanne oder Abmahnung reagieren sollte. lesen

Aber ganz im Ernst

Der Grund, warum wir diese Liste zusammengestellt haben, ist zu zeigen, wie „verrückt“ ein Unternehmen handeln muss, um sich mit einer derart hohen Geldbuße konfrontiert zu sehen.

Bisher ist die DSGVO eher zum Feindbild geworden und nicht zu einem vernünftigen Schritt in Richtung moderner Handhabung personenbezogener Daten. Und bei allen Vorschriften: Geldbußen sind nur der letzte Schritt. Bevor Unternehmen Strafen zu befürchten haben, gibt es eine Reihe von Benachrichtigungen und Prüfungen.

Firmen sollten sich darüber im Klaren sein, dass sie in vielen Fällen lediglich die derzeit angewendeten Praktiken und Verfahren verfeinern und gegebenenfalls die Lücken füllen müssen, die sie bisher als nicht kritisch erachtet haben.

Über den Autor: István Molnár ist Compliance Experte bei One Identity.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45654537 / Compliance und Datenschutz )