Erste Strafen bei der DSGVO

Seit dem Fristablauf zur Umsetzung der DSGVO herrscht in der Unternehmerlandschaft große Unsicherheit über die tatsächliche Handhabung des Strafrahmens. [...]

Andreas Schütz, Anwalt bei Taylor Wessing. (c) Taylor Wessing

Als Zwischenbilanz lässt sich festhalten, dass dieser bisher weder zur Gänze ausgereizt, noch zu milde angewandt wurde. Die ersten nennenswerten, möglicherweise sogar richtungsweisenden Entscheidungen sind etwa jene der portugiesischen Datenschutzbehörde CNPD, des Baden-Württembergischen Landesbeauftragten für Datenschutz oder der englischen Behörde ICO. Die CNPD hat kürzlich eine Geldbuße in Höhe von 400.000 Euro gegen ein Krankenhaus verhängt. Krankenhausmitarbeiter hatten durch falsche Profile rechtswidrig auf Unmengen von Patientendaten Zugriff. Das Krankenhaus hatte nur 296 registrierte Ärzte, wohingegen das Profilmanagementsystem 985 Konten auflistete.

Das deutsche soziale Netzwerk knuddels.de kam hingegen noch mit einer milden Strafzahlung in Höhe von 20.000 Euro davon. Ein Hacker hatte ca. 330.000 Nutzerdaten erbeutet, wobei der achtlose Umgang mit diesen Daten aufgedeckt wurde. Als gravierender Verstoß gegen die DSGVO wurde insbesondere die unverschlüsselte Aufbewahrung der Passwörter gesehen. Gegen den Flughafen London Heathrow verhängte die ICO ein Bußgeld von umgerechnet 135.700 Euro wegen eines durch Mitarbeiter des Flughafens verlorenen USB-Sticks, samt nicht verschlüsselten- und nicht passwortgeschützten Daten. Überdies ergab die darauffolgende Untersuchung der ICO, dass nur circa zwei Prozent der Mitarbeiter zur Datensicherheit geschult waren.

Als vergleichbar kann man die Situation in Österreich derzeit noch nicht bezeichnen. Während die österreichische Datenschutzbehörde (DSB) derzeit ca. 1.000 Beschwerden prüft, liegen inzwischen erst vier Strafen im Rahmen von 300 bis 4.800 Euro vor. Zu beachten ist allerdings der Unterschied in der Dimension der Verantwortlichen. Während die vorangehenden Entscheidungen komplexe organisatorische Einheiten betreffen, sind die Adressaten der Strafzahlungen in Österreich der Besitzer eines Imbissstandes, zwei kleine Wettlokale – allesamt wegen unzulässiger Videoüberwachung – sowie ein PKW-Lenker, weil dieser unerlaubt eine Dashcam nutzte.

Es bleibt abzuwarten, wie die weiteren Entscheidungen der DSB sowie der Datenschutzbehörden in den anderen EU Ländern ausfallen, insbesondere wenn es zu Datenschutzverstößen durch größere Einheiten (im Vergleich zu den bisher verurteilten Kleinunternehmern und Privaten) kommt.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*