Seit über einem Jahr ist die neue Regelung zur DSGVO in Kraft. Noch immer haben nicht alle Unternehmen die Richtlinien umgesetzt. Noch wurde in der EU – so auch in Österreich – nur sporadisch bestraft. Das könnte sich jedoch bald ändern. [...]
Knapp über ein Jahr ist die Datenschutz-Grundverordnung (DSGVO) in Kraft und es bleibt noch viel zu tun. Erschreckend: Etwa ein Drittel der Führungskräfte (31 Prozent) weiß immer noch nicht, worum es in der DSGVO eigentlich geht. Zwei Prozent haben sogar noch nie davon gehört. Zu diesem Ergebnis kommt eine Studie der Brabbler AG zu Messenger und Datenschutz in Unternehmen, an der 729 Berufstätige zwischen 20 und 60 Jahren teilgenommen haben.
Mehr als die Hälfte der Mitarbeiter (54 Prozent) hat bereits Erfahrung mit der Verordnung gesammelt und ist der Meinung, dass die DSGVO ihre Arbeit erschwert. Im öffentlichen Dienst beträgt die Quote sogar 61 Prozent. Fast jeder vierte Befragte (24 Prozent) gibt an, monatlich zwischen fünf und zehn Stunden mit Themen rund um die DSGVO beschäftigt zu sein. Ein weiteres aufschlussreiches Ergebnis der Studie: Trotz des hohen Aufwands sind datenschutzrechtlich problematische Lösungen wie WhatsApp ein Jahr nach Inkrafttreten der DSGVO sogar noch häufiger (53 Prozent) auf Geschäftsgeräten zu finden als im Mai letzten Jahres (49 Prozent).
Eine weitere Studie zeichnet ein ähnliches Bild: Weniger als ein Fünftel der Anwender, die operativ mit Daten arbeiten, wie beispielsweise Data Analysts, Data Scientists und Data Quality Managers, haben volles Vertrauen in die Fähigkeit ihres Unternehmens, die Datenschutzvorschriften zu kontrollieren. Darüber hinaus zeigte die Untersuchung von Talend, dass es eine signifikante Wahrnehmungslücke zwischen operativen Data Workers und der Führungsetage gibt. So haben Manager ein wesentlich höheres Maß an Vertrauen in diese Kontrollfähigkeiten als die Mitarbeiter, die tatsächlich mit den Daten arbeiten.
Aller guten Dinge sind bekanntlich drei. Daher soll an dieser Stelle noch eine Studie angeführt werden, die sogar noch gruseliger anmutet als ihre hier genannten Vorgänger: Laut einer CyberArk Studie wäre die Hälfte der Unternehmen eher bereit, Bußgelder für Compliance-Verletzungen zu bezahlen, anstatt die eigenen Sicherheitsrichtlinien zu ändern – selbst nach einem erfolgreichen Cyberangriff. In Deutschland erklären zudem nur 45 Prozent, dass sie auf die Meldepflicht von Sicherheitsvorfällen innerhalb der vorgeschriebenen 72-Stunden-Frist gemäß der EU-DSGVO adäquat vorbereitet sind.
Kaum Bußgelder im ersten Jahr
Die laxe Umsetzung der DSGVO mag auch daran liegen, dass es bis dato nur sehr wenige Beispiele für tatsächliche Strafzahlungen oder sogar Abmahnungen gibt. Laut einer Erhebung der Wirtschaftsprüfer von Ernst & Young (EY) haben die meisten EU-Länder im Rahmen der DSGVO noch gar keine Bußgelder verhängt, verwertbare Daten liegen überhaupt nur aus 16 Mitgliedstaaten vor. Dabei zeigt sich das (noch?) zurückhaltende Agieren der Datenschutzbehörden. Die französische Datenschutzbehörde CNIL verhängte ihre erste DSGVO-Buße gegen Google und damit das bisher größte Bußgeld in der Geschichte des europäischen Datenschutzes: 50 Millionen Euro. Die Behörde wirft Google zwei Verstöße gegen die europäische DSGVO vor. Die wesentlichen Datenschutzinformationen seien auf mehrere Dokumente verteilt und könnten so von Laien gar nicht oder nur schwer gefunden werden. Das verstoße gegen das Prinzip der Transparenz. Des Weiteren sind die Angaben von Google, selbst wenn sie komplett aufgefunden wurden, zu ungenau, um dem Nutzer wirkliche Informationen über die Zwecke der Datenerhebung zu vermitteln. Darüber hinaus seien die Einstellungsfunktionen für personalisierte Werbung illegal. Die Beschwerde wurde von der Organisation Noyb und von der französischen Organisation La Quadrature du Net eingereicht. Neben dem aktuellen Vorgehen gegen Google hat Noyb kürzlich auch gegen große Streaming-Dienste wie Netflix, Apple Music, Amazon Prime und Spotify ähnliche Beschwerden eingereicht. Die Sanktionen könnten dabei theoretisch noch höher ausfallen als 50 Millionen Euro, da bis zu zwei Prozent des weltweit erzielten Jahresumsatzes als Strafmaß möglich sind.
Geldbuße für uneinsichtige Datenhändler
Die polnische Datenschutzbehörde UODO verhängte gegen die Aktiengesellschaft Bisnode AB eine Geldbuße von 943.000 Zloty, was umgerechnet rund 220.000 Euro entspricht. Bei dem sanktionierten Unternehmen handelt es sich um einen Anbieter von digitalen Geschäftsinformationen, der personenbezogene Daten erhoben hatte, um sie in seiner eigenen Datenbank zu sammeln und für kommerzielle Zwecke zu verwenden. Seine Datensätze bezieht das Unternehmen aus öffentlich zugänglichen Quellen. Die Strafe erfolgte, weil das Unternehmen seinen Informationspflichten nicht nachgekommen war. Insgesamt sind fast sechs Millionen Datensätze betroffen. Laut Art. 14 DSGVO hätte das Unternehmen die betroffenen Personen über die Verwendung der Daten informieren müssen – und das in allen sechs Millionen Fällen. Wie sich in dem Verfahren herausstellte, haben die Verantwortlichen bewusst gehandelt und wissentlich betroffene Personen nicht über die Nutzung ihrer persönlichen Daten informiert. Dieser Umstand sowie die mangelnde Einsicht auf Seiten des Unternehmens hatten unmittelbaren Einfluss auf die Höhe der verhängten Strafe.
Sensible Patientendaten in den Händen falscher Ärzte?
Die portugiesische Datenschutzbehörde CNPD verhängt im Oktober 2018 die erste erhebliche Geldstrafe in Europa wegen eines Verstoßes gegen die DSGVO. Das Krankenhaus Barreiro Montijo bei Lissabon musste demnach insgesamt 400.000 Euro zahlen. Als Grund nannten die Datenschützer unter anderem, dass zu viele Menschen unberechtigten Zugang zu vertraulichen Patientendaten hatten. Der Krankenhausbetreiber habe dabei internen IT-Technikern bewusst und in voller Absicht Zugang zu Daten gewährt, die ausschließlich Ärzten zugänglich sein sollten. Darüber hinaus wurden insgesamt 985 aktive Nutzer als Ärzte im System registriert, obwohl 2018 nur 296 Ärzte im Krankenhaus arbeiteten. Dies begründete das Krankenhaus damit, dass im Rahmen eines Dienstleistungsvertrages temporäre Profile erstellt wurden, die die abweichenden Zahlen erklären würden.
Dating Website als erstes Opfer in Deutschland
Deutschland verhängte seine erste Geldbuße wegen Verletzung der DSGVO im November 2018. Die Social- und Dating-Website Knuddels.de meldete im September eine Datenschutzverletzung von 1,87 Millionen Kombinationen aus Benutzernamen und Passwörtern sowie 800.000 E-Mail-Adressen von Nutzern. Die Geldbuße von 20.000 Euro fiel daher vergleichsweise gering aus.
Fragen kostet nichts? Das gilt nicht bei der DSGVO! Im Mai 2018 bat das kleine Versandunternehmen Kolibri Image den Hessischen Beauftragten für Datenschutz um Rat. Das Unternehmen hatte einen seiner Dienstleister mehrmals um einen Vertrag zur Auftragsabwicklung gebeten, diesen aber nicht erhalten. Kolibri Image wollte sich bei der hessischen Datenschutzbehörde informieren, wie es weitergehen solle. Diese antwortete, dass beide Seiten verpflichtet seien, einen solchen Vertrag abzuschließen. Nicht nur der Dienstleister, sondern auch der Auftraggeber sei hier aus datenschutzrechtlichen Gründen in der Verantwortung. Das Unternehmen sei dabei verpflichtet, selbst eine entsprechende Vereinbarung zu verfassen und an den Dienstleister zur Unterschrift zu schicken. Entsprechende Vorlagen sind auf der Seite der Verwaltung zu finden.
Österreich als Insel der Seligen
In Österreich verzeichnet der Bericht der Datenschutzbehörde (DSB) für 2018 einen massiven Anstieg der Individual- und auch grenzüberschreitenden Beschwerden im Datenschutz sowie bei den Verfahrenszahlen. Konkret erhöhten sich die Individualbeschwerden um 564 Prozent auf 1.036 Beschwerden. Zudem gab es dem DSB-Bericht zufolge 430 grenzüberschreitende Fälle aus dem Ausland und die Zahl der Rechtsauskünfte, die die DSB erteilt hat, stieg um fast 1.800 auf rund 4.000 Stück. Strafen halten sich jedoch sehr in Grenzen: Seit Einführung der DSGVO hat es in Österreich bislang fünf Strafen gegeben. Die höchste Strafe lag bei 4.800 Euro. Dabei handelte es sich bei sämtlichen Bußgeldern um die Nutzung unerlaubter Videoüberwachung. Demnach sind das Verstöße, die bereits laut Datenschutzgesetz 2000, der Gesetzeslage, die vor der DSGVO galt, geahndet wurden. Die bisher höchste Strafe von 4.800 Euro wurde gegen ein österreichisches Sportwettbüro ausgesprochen und fällt im internationalen Vergleich geradezu lächerlich gering aus.
Die Schonzeit ist vorbei
In der Anfangsphase der DSGVO war eine deutliche Schonzeit zu erkennen. Diese ist nun merklich vorbei. Die Abmahnungen nehmen zu und die Datenschutzbehörden verhängen höhere Sanktionen. Nach wie vor besteht das größte Problem der DSGVO darin, dass die Verordnung nicht zwischen dem örtlichen Sportverein und einem Großkonzern unterscheidet. Die Umsetzung ist mit einem erheblichen Aufwand verbunden und oft für kleinere Unternehmen nicht leicht zu bewältigen. Hohe Strafen wirken auf Unternehmen wie Facebook oder Google, die einen hohen Umsatz erzielen, zwar abschreckend, schaden ihnen aber in Anbetracht ihrer Kapitalrücklagen nur marginal. Anders sieht das oft bei kleinen und mittelständischen Unternehmen sowie Vereinen aus. Insgesamt lässt sich festhalten, dass aufgrund der zunehmenden Sanktionen das Bewusstsein für Datenschutz auf allen Seiten deutlich gesteigert ist. Dennoch besteht gerade auf der Seite der Großkonzerne, die mit Unmengen von persönlichen Daten jonglieren, sicherlich noch Verbesserungsbedarf in Bezug auf den Schutz unserer Daten.
Be the first to comment