Ein Jahr DSGVO: Verhaltene Ruhe

Ein Jahr nachdem die Datenschutzgrundverordnung (DSGVO) in der Europäischen Union am 25. Mai 2018 in Kraft getreten ist, blickt die COMPUTERWELT auf die verhängten Bußgelder und zieht eine Zwischenbilanz. [...]

Thomas Breuss, Rechtsanwalt und Director bei EY Law Österreich: "Die Schonfrist ist bald vorbei." (c) EY
Thomas Breuss, Rechtsanwalt und Director bei EY Law Österreich: "Die Schonfrist ist bald vorbei." (c) EY

Auch wenn die DSGVO (auf engl. GDPR – General Data Protection Regulation) teilweise etwas allgemein formuliert war, hat die EU damit in Sachen Datenschutz einen Maßstab gesetzt. Insbesondere die Maximalstrafen von 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Jahresumsatzes sorgten für hohe Aufmerksamkeit und Nervosität bei den Unternehmen. Wenngleich die DSGVO für alle personenbezogene Daten verarbeitende Unternehmen gilt, egal ob groß oder klein, war es doch auch kein Geheimnis, dass man damit von Anfang an auf die ganz großen IT-Giganten vornehmlich aus den USA zielte, allen voran Google. Insofern war – etwas sarkastisch formuliert – die DSGVO erfolgreich: Anfang 2019 verurteilte die französische Datenschutzbehörde Google zu einem Bußgeld von 50 Millionen Euro.

Am 22. Mai 2019 teilte zudem die irische Datenschutzbehörde mit, dass man nach entsprechenden Beschwerden bezüglich des Datenschutzes eine gesetzliche Untersuchung gegen Google eingeleitet habe. Irland deswegen, weil sich dort der europäische Sitz von Google, aber auch anderen IT-Firmen wie Twitter, LinkedIn, Facebook (inklusive der Unternehmenstöchter Instagram und WhatsApp) oder Apple befindet. Vergessen Sie die 20 Millionen Euro Strafe: Bei Strafandrohungen von vier Prozent vom Jahresumsatz geht es bei diesen Firmen gleich um mehrere Milliarden Euro. Laut der Nachrichtenagentur Reuters laufen derzeit 51 DSGVO-Untersuchungen in Irland, inklusive gegen alle der oben genannten Firmen. Derzeit untersucht und prüft die Datenschutzbehörde die Fälle.

Viele Beschwerden, relative wenige Verurteilungen zu Bußgeldern

Während es ein Jahr nach Einführung der DSGVO rund 150.000 Beschwerden in Sachen Datenschutz gab, konstatiert Pascal Cronauer, Regional Director DACH bei LogPoint, dass es relativ ruhig geblieben ist. „Weder gab es die befürchteten Abmahnwellen noch gab es viele publikumswirksame Anzeigen und Strafverfahren,“ zieht Cronauer Bilanz. Das bedeute aber nicht, dass man sich jetzt beruhigt zurücklehnen können. Bereits angestoßene Prozesse sollten weitergeführt werden und Unternehmen im Zuge der Digitalisierung gleichzeitig auch DSGVO-konform gemacht werden.

Es empfiehlt sich die Auflagen der DSGVO nicht nur als Bedrohung, sondern auch als Chance zu begreifen. Zu wissen, wo welche Daten wie gespeichert sind und ein Konzept des Datenschutzes zu haben, ist ja ein enormer Vorteil.

EU-Staaten agieren bezüglich der DSGVO sehr unterschiedlich

Hohe Strafen gab es bisher mit 400.000 Euro gegen ein Krankenhaus in Portugal, 170.000 Euro Bußgeld gegen die norwegische Stadt Bergen, 50.000 Euro Strafe gegen die OnlineBank N26 in Deutschland oder 220.000 Euro Bußgeld gegen einen Informationsdienstleister in Polen, wo auch 13.000 Euro Strafgebühr gegen einen Fußballverein verhängt wurden – dagegen nimmt sich die bisher höchste in Österreich ausgesprochene Strafe von 4.800 Euro gegen ein Sportwettbüro recht moderat aus.

In vielen EU-Staaten noch keine DSGVO-bezogene Strafen verhängt

Laut einer Erhebung der Wirtschaftsprüfer von Ernst & Young (EY) haben die meisten EU-Länder im Rahmen der DSGVO noch gar keine Bußgelder verhängt, verwertbare Daten liegen überhaupt nur aus 16 Mitgliedstaaten vor. Dabei zeigt sich das (noch?) zurückhaltende Agieren der Datenschutzbehörden.

In Deutschland wurden nur 54 Verwarnungen aufgrund von Verstößen gegen die DSGVO ausgesprochen, in nur 42 Fällen wurden Bußgelder verhängt, die sich im Durchschnitt auf gut 16.100 Euro beliefen. Damit zeigten sich die deutschen Behörden im europäischen Vergleich als besonders aktiv.

In Lettland wurden laut EY in zwölf, in Frankreich in zehn Fällen Bußgelder verhängt. Die Anzahl der Verwarnungen war mit 1.018 Stück in den Niederlanden besonders hoch. Andererseits gab es dort nur einen einzigen Bußgeldbescheid in Höhe von 600.000 Euro gegen einen Mobilitätsdienstleister. Dieses Bußgeld war zugleich das höchste in der EU im Jahr 2018 verhängte Strafausmaß.

In neun der 16 Länder, aus denen Daten vorliegen, wurde überhaupt in keinem einzigen Fall ein Bußgeld verhängt, und in sechs Ländern gab es nicht einmal eine Verwarnung wegen DSGVO-Verstößen.

In Österreich verzeichnet der Bericht der Datenschutzbehörde (DSB) für 2018 einen massiven Anstieg der Individual- und auch grenzüberschreitenden Beschwerden im Datenschutz sowie bei den Verfahrenszahlen. Konkret erhöhten sich die Individualbeschwerden um 564 Prozent auf 1.036 Beschwerden. Zudem gab es dem DSB-Bericht zufolge 430 grenzüberschreitende Fälle aus dem Ausland und die Zahl der Rechtsauskünfte, die die DSB erteilt hat, stieg um fast 1.800 auf rund 4.000 Stück.

Behörde auch für den privaten Bereich zuständig

Die Statistik für das Jahr 2018 verzeichnet weiters 134 Verwaltungsstrafverfahren, zum Beispiel Videoüberwachung betreffend, 129 amtswegige Prüfverfahren und 50 Verfahren vor dem Bundesverwaltungsgericht. Die behördliche Zuständigkeit zur Führung von Verwaltungsstrafverfahren im Bereich des Datenschutzrechts ist ja mit dem 25. Mai 2018 von den Bezirksverwaltungsbehörden auf die Datenschutzbehörde übergegangen. Die Verfahren vor dem Bundesverwaltungsgericht seien unter anderem deshalb angestiegen, weil die Datenschutzbehörde auch für den privaten Bereich in vollem Umfang zuständig wurde und seither mit Bescheiden entscheidet, die beim Bundesverwaltungsgericht bekämpft werden können, so der Bericht.

Bei Sicherheitsverletzungen sind Unternehmen durch eine sogenannten „Verantwortlichen“ verpflichtet diese der DSB zu melden. Diesbezüglich wurden der DSB im Jahr 2018 69 Sicherheitsverletzungen gemäß Telekommunikationsgesetz, sieben grenzüberschreitende Sicherheitsverletzungen, 43 Sicherheitsverletzungen ausländischer Aufsichtsbehörden sowie 501 inländische Sicherheitsverletzungen gemeldet.

Die Gangart wird schärfer

Seit Anfang dieses Jahres scheint sich aber mit dem oben erwähnten und von der französischen Datenschutzbehörde CNIL verhängtem 50 Millionen Euro Bußgeld gegen Google die Gangart der Aufsichtsbehörden gegen Verstöße etwas verschärft zu haben. Diesem Eindruck kann Thomas Breuss, Rechtsanwalt und Director bei EY Law Österreich (Pelzmann Gall Größ Rechtsanwälte GmbH) nur zustimmen: „Die Schonfrist wird bald vorbei sein. Wir erwarten, dass die europäischen Aufsichtsbehörden ihre Ankündigungen für das Jahr 2019 umsetzen und verstärkt zu höheren Geldstrafen greifen werden.“ Laut einer EY-Umfrage unter den zuständigen Aufsichtsbehörden erwarten demnach 82 Prozent einen Anstieg bei der Verhängung von Bußgeldern und sonstigen Sanktionen. Breuss: „Die französische CNIL hat einen neuen Standard gesetzt, andere Behörden dürften folgen – zumal überall in Europa sehr genau verfolgt wird, in welchen Staaten wie viele Geldstrafen in welcher Höhe verhängt werden.“

Die EY-Analyse zeigt jedenfalls, dass Sanktionen aufgrund von DSGVO-Verstößen Unternehmen aus jeder Branche und in jeder Organisationsform treffen können, und dass insbesondere Verstöße gegen (IT-)Sicherheit der Daten und Vertraulichkeit geahndet werden.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*