Abo
  • IT-Karriere:

DSGVO: Zeitenwechsel im Datenschutz

Mehr Sanktionen, weniger Beratungen. Das droht, wenn die Politik die Datenschutz-Aufsichtsbehörden weiterhin personell und finanziell zu knapp hält. Die bayerische Datenschutzaufsichtsbehörde hat für den Standort Bayern jetzt eine drastische Kursänderung angekündigt.

Artikel von Christiane Schulzki-Haddouti veröffentlicht am
Bayerns Datenschutzbehörde will Veränderungen.
Bayerns Datenschutzbehörde will Veränderungen. (Bild: Capri23auto)

Der Standort München gehört zu den besten IT-Standorten in Europa. Dort finden sich zahlreiche Zweigniederlassungen internationaler IT-Firmen wie Microsoft, Adobe, AMD, Apple, Cisco Systems, IBM oder Oracle. Vor dieser illustren Kulisse agierte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bislang äußerst zurückhaltend: Beratungen waren das Hauptgeschäft, Sanktionen die Ausnahme. Inwieweit sich das Verhältnis nun umkehrt, wird die Landespolitik entscheiden müssen.

Inhalt:
  1. DSGVO: Zeitenwechsel im Datenschutz
  2. Patch-Management-Prüfungen

Das erste Praxisjahr mit der Datenschutz-Grundverordnung (DSGVO) hatte es in sich: Während 2017 rund 3.700 Beratungsanfragen im BayLDA eingingen, waren es 2018 rund 9.200. Ähnlich sieht es auch in anderen Aufsichtsbehörden aus, weshalb sie derzeit darüber diskutieren, ob Beratungen überhaupt zu den Pflichtaufgaben gehören. Grundsätzlich sieht BayLDA-Leiter Thomas Kranig sie positiv, da "wir so erfahren haben, welche Bearbeitungen in der Praxis stattfinden oder geplant sind". Angesichts des Ansturms sieht er sich jedoch gezwungen, die Anfragen aus Kapazitätsgründen zunehmend abzulehnen.

Der Grund: Der nächste Landeshaushalt sieht keine neuen Personalstellen für die Datenschutzaufsicht vor - es soll bei den gegenwärtig 24 Planstellen bleiben. Anlässlich der Vorstellung seines Tätigkeitsberichts kündigte Kranig die Konsequenz an: Er müsse die Beratungsleistungen der Aufsichtsbehörde nun "weitgehend einstellen". Für ihn ist das eine Art Kapitulation, da er bisher nach dem Leitsatz gehandelt habe, dass "jede Beratung, die dazu beiträgt, dass kein Datenschutzverstoß begangen wird, viel mehr wert ist als zahlreiche Sanktionen".

Kranig steht damit nicht allein. Die niedersächsische Landesdatenschutzbeauftragte stellte die individuelle Beratung bereits im November weitgehend ein. Allein Vereine und Verbände werden über eine eigene Hotline noch weiter telefonisch beraten.

Massiv gestiegene Meldungen von Datenschutzverstößen

Stellenmarkt
  1. BSH Hausgeräte GmbH, Traunreut
  2. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg

Die Belastung der Mitarbeiter steigt auch mit der neu eingeführten Meldepflicht für Datenschutzverstöße. 2.376 Meldungen gingen nach dem 25. Mai ein, davor waren es seit Jahresanfang lediglich 95 Meldungen. Kranig: "Dies ist ein absoluter Rekordwert in unserer Geschichte als bayerische Aufsichtsbehörde." An manchen Tagen würden über 30 Vorfälle gemeldet, von Cyberattacken auf Unternehmen über unverschlüsselte Rechner in Arztpraxen bis zu fehlversendeten Versicherungsschreiben.

Bislang sanktionierte Kranig keine Verstöße gegen die DSGVO, weder mit Warnungen noch mit Verwarnungen, Geldbußen oder Widerrufen von Zertifizierungen. Einige Anweisungen und Anordnungen wurden jedoch erlassen. Das könnte sich ändern, wobei auch Betreiber kleiner Webseiten mit Bußgeldern rechnen können. Einen Vorgeschmack darauf geben die themenspezifischen Prüfbögen, die das BayLDA seit einigen Jahren stichprobenweise an ausgewählte Unternehmen verschickt.

Bußgelder für fehlende SSL-Verschlüsselungen in Aussicht gestellt

Die Frage, ob das Fehlen von SSL-Verschlüsselungen ein Verstoß gegen die DSGVO darstellen kann, ist nach Ansicht der Datenschutzaufsichtsbehörden geklärt: Das BayLDA hat die Problematik in ihren aktuellen Prüfkatalog aufgenommen. So prüfte es zwischen Februar und August vergangenen Jahres 172 Webseiten darauf, ob sie das weit verbreitete Content-Management-System Wordpress verwendeten. 18 Webseiten, die Wordpress tatsächlich einsetzten, wurden hinsichtlich der HTTPS-Implementierung, der aktuellen Version der Wordpress-Installation und der eingesetzten Wordpress-Plugins überprüft. Alle Webseiten wiesen Mängel auf. Bei vier Seiten war die WP-Version so veraltet, dass sie zahlreiche längst bekannte Sicherheitslücken enthielt. Sechs Webseiten verfügten nicht über eine HTTPS-Verschlüsselung, teilweise konnte sogar der Admin-Bereich unverschlüsselt aufgerufen werden.

Zwar stellten die Betreiber die Mängel nach einem Anschreiben der Behörde zunächst ab. Eine Nachprüfung Ende 2018 zeigte aber, dass einzelne Verantwortliche anschließend trotz neuer Sicherheitslücken wieder keine Patches durchgeführt hatten. Die Behörde erwägt künftig, in solchen Fällen die Betreiber nicht mehr erneut zu kontaktieren, sondern direkt Bußgeldverfahren einzuleiten.

Ob auch andere Organisationen in solchen Fragen tätig werden können, ist noch nicht klar: Derzeit verschickt die IGD Interessengemeinschaft Datenschutz e.V. im größeren Stil Abmahnungen in Höhe von 285,60 Euro wegen fehlender SSL-Verschlüsselungen auf Webseiten. Aus Sicht des baden-württembergischen Landesdatenschützers Stefan Brink ist das "der erste breitere Versuch, nach der DSGVO Abmahnungen auszusprechen". Sie sind rechtlich fragwürdig, weil die Wettbewerbswidrigkeit von DSGVO-Verstößen vom Bundesgerichtshof noch nicht abschließend geklärt wurde. Mehrere Landgerichte sprachen sich bislang dagegen aus, das OLG Hamburg jedoch dafür.

Patch-Management-Prüfungen 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 799,90€
  2. (u. a. Guild Wars 2 - Path of Fire 15,99€, PUBG Survivor Pass 3 6,99€, Die Sims 4 10,99€)
  3. (aktuell u. a. NZXT H500 Overwatch Special Edition Gehhäuse 129,90€, NZXT RGB Kit 79,90€)
  4. (Monitore ab 147,99€ und Laptops ab 279,00€)

daydreamer42 28. Mär 2019 / Themenstart

Und wenn nicht, was dann? Dann bleiben Vereinswebseiten und andere kleine Angebote...

quineloe 26. Mär 2019 / Themenstart

Ich hätte auch schreiben können, dass wir DSGVO-Konform unterwegs sind, aber das ist...

Schnarchnase 25. Mär 2019 / Themenstart

Wir legen schon alle möglichen Informationen auf den Tisch, leider wird gerne vorne...

mgutt 23. Mär 2019 / Themenstart

Witzig wird es auch, wenn ich einfach sagen, dass ich die Entwicklung übernommen habe...

Kommentieren


Folgen Sie uns
       


Demo gegen Uploadfilter in Berlin - Bericht

Impressionen von der Demonstration am 23. März 2019 gegen die Uploadfilter in Berlin.

Demo gegen Uploadfilter in Berlin - Bericht Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Elektromobilität: Was hat ein Kanu mit Autos zu tun?
    Elektromobilität
    Was hat ein Kanu mit Autos zu tun?

    Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
    Ein Bericht von Dirk Kunde

    1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
    2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
    3. Ventomobil Mit dem Windrad auf Rekordjagd

    Swobbee: Der Wechselakku kommt wieder
    Swobbee
    Der Wechselakku kommt wieder

    Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
    Eine Analyse von Werner Pluta

    1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
    2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
    3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

      •  /