5. Dezember 2018 Andreas Schütz

Erste Strafen bei der DSGVO

Seit dem Fristablauf zur Umsetzung der DSGVO herrscht in der Unternehmerlandschaft große Unsicherheit über die tatsächliche Handhabung des Strafrahmens. [...]

Andreas Schütz, Anwalt bei Taylor Wessing. (c) Taylor Wessing

Als Zwischenbilanz lässt sich festhalten, dass dieser bisher weder zur Gänze ausgereizt, noch zu milde angewandt wurde. Die ersten nennenswerten, möglicherweise sogar richtungsweisenden Entscheidungen sind etwa jene der portugiesischen Datenschutzbehörde CNPD, des Baden-Württembergischen Landesbeauftragten für Datenschutz oder der englischen Behörde ICO. Die CNPD hat kürzlich eine Geldbuße in Höhe von 400.000 Euro gegen ein Krankenhaus verhängt. Krankenhausmitarbeiter hatten durch falsche Profile rechtswidrig auf Unmengen von Patientendaten Zugriff. Das Krankenhaus hatte nur 296 registrierte Ärzte, wohingegen das Profilmanagementsystem 985 Konten auflistete.

Das deutsche soziale Netzwerk knuddels.de kam hingegen noch mit einer milden Strafzahlung in Höhe von 20.000 Euro davon. Ein Hacker hatte ca. 330.000 Nutzerdaten erbeutet, wobei der achtlose Umgang mit diesen Daten aufgedeckt wurde. Als gravierender Verstoß gegen die DSGVO wurde insbesondere die unverschlüsselte Aufbewahrung der Passwörter gesehen. Gegen den Flughafen London Heathrow verhängte die ICO ein Bußgeld von umgerechnet 135.700 Euro wegen eines durch Mitarbeiter des Flughafens verlorenen USB-Sticks, samt nicht verschlüsselten- und nicht passwortgeschützten Daten. Überdies ergab die darauffolgende Untersuchung der ICO, dass nur circa zwei Prozent der Mitarbeiter zur Datensicherheit geschult waren.

Als vergleichbar kann man die Situation in Österreich derzeit noch nicht bezeichnen. Während die österreichische Datenschutzbehörde (DSB) derzeit ca. 1.000 Beschwerden prüft, liegen inzwischen erst vier Strafen im Rahmen von 300 bis 4.800 Euro vor. Zu beachten ist allerdings der Unterschied in der Dimension der Verantwortlichen. Während die vorangehenden Entscheidungen komplexe organisatorische Einheiten betreffen, sind die Adressaten der Strafzahlungen in Österreich der Besitzer eines Imbissstandes, zwei kleine Wettlokale – allesamt wegen unzulässiger Videoüberwachung – sowie ein PKW-Lenker, weil dieser unerlaubt eine Dashcam nutzte.

Es bleibt abzuwarten, wie die weiteren Entscheidungen der DSB sowie der Datenschutzbehörden in den anderen EU Ländern ausfallen, insbesondere wenn es zu Datenschutzverstößen durch größere Einheiten (im Vergleich zu den bisher verurteilten Kleinunternehmern und Privaten) kommt.


Mehr Artikel

News

Mit IT Security Assessment zu effektiven Schutzmaßnahmen

14. April 2025

KMU sind vermehrt Opfer von Cyberangriffen. Da ihre IT häufig mehr Lücken hat als die großer Unternehmen, bieten sie auch mehr Angriffsfläche. Bei bis zu 500.000 neuen Schadvarianten sowie 18 Zero Day Hacks täglich mit oft fatalen Folgen. Ein Cybersecurity Assessment identifiziert potenzielle Einfallstore und zeigt notwendige Sicherheitsmaßnahmen auf. […]

Das neue Führungsteam der Gamma Group (c) Gamma
Karriere

Gamma Group mit neuem Führungsteam

11. April 2025 pi/cb

Gamma Communications hat nach der Übernahme von STARFACE im Februar 2025 sein Führungsteam in Deutschland verstärkt. Die erweiterte Managementstruktur vereint Schlüsselpositionen von Gamma, STARFACE und estos, um einen einheitlichen, strategischen Ansatz für das Wachstum in der DACH-Region voranzutreiben. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*