DSGVO: Zeitenwechsel im Datenschutz

Mehr Sanktionen, weniger Beratungen. Das droht, wenn die Politik die Datenschutz-Aufsichtsbehörden weiterhin personell und finanziell zu knapp hält. Die bayerische Datenschutzaufsichtsbehörde hat für den Standort Bayern jetzt eine drastische Kursänderung angekündigt.

Artikel von Christiane Schulzki-Haddouti veröffentlicht am
Bayerns Datenschutzbehörde will Veränderungen.
Bayerns Datenschutzbehörde will Veränderungen. (Bild: Capri23auto)

Der Standort München gehört zu den besten IT-Standorten in Europa. Dort finden sich zahlreiche Zweigniederlassungen internationaler IT-Firmen wie Microsoft, Adobe, AMD, Apple, Cisco Systems, IBM oder Oracle. Vor dieser illustren Kulisse agierte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bislang äußerst zurückhaltend: Beratungen waren das Hauptgeschäft, Sanktionen die Ausnahme. Inwieweit sich das Verhältnis nun umkehrt, wird die Landespolitik entscheiden müssen.

Inhalt:
  1. DSGVO: Zeitenwechsel im Datenschutz
  2. Patch-Management-Prüfungen

Das erste Praxisjahr mit der Datenschutz-Grundverordnung (DSGVO) hatte es in sich: Während 2017 rund 3.700 Beratungsanfragen im BayLDA eingingen, waren es 2018 rund 9.200. Ähnlich sieht es auch in anderen Aufsichtsbehörden aus, weshalb sie derzeit darüber diskutieren, ob Beratungen überhaupt zu den Pflichtaufgaben gehören. Grundsätzlich sieht BayLDA-Leiter Thomas Kranig sie positiv, da "wir so erfahren haben, welche Bearbeitungen in der Praxis stattfinden oder geplant sind". Angesichts des Ansturms sieht er sich jedoch gezwungen, die Anfragen aus Kapazitätsgründen zunehmend abzulehnen.

Der Grund: Der nächste Landeshaushalt sieht keine neuen Personalstellen für die Datenschutzaufsicht vor - es soll bei den gegenwärtig 24 Planstellen bleiben. Anlässlich der Vorstellung seines Tätigkeitsberichts kündigte Kranig die Konsequenz an: Er müsse die Beratungsleistungen der Aufsichtsbehörde nun "weitgehend einstellen". Für ihn ist das eine Art Kapitulation, da er bisher nach dem Leitsatz gehandelt habe, dass "jede Beratung, die dazu beiträgt, dass kein Datenschutzverstoß begangen wird, viel mehr wert ist als zahlreiche Sanktionen".

Kranig steht damit nicht allein. Die niedersächsische Landesdatenschutzbeauftragte stellte die individuelle Beratung bereits im November weitgehend ein. Allein Vereine und Verbände werden über eine eigene Hotline noch weiter telefonisch beraten.

Massiv gestiegene Meldungen von Datenschutzverstößen

Stellenmarkt
  1. Applikations- und Datenbankadministrator (m/w/d)
    Deutsche Rückversicherung AG / VöV Rückversicherung KöR, Düsseldorf
  2. Mitarbeiter (w/m/d) IT-Service
    The Boston Consulting Group GmbH, Frankfurt
Detailsuche

Die Belastung der Mitarbeiter steigt auch mit der neu eingeführten Meldepflicht für Datenschutzverstöße. 2.376 Meldungen gingen nach dem 25. Mai ein, davor waren es seit Jahresanfang lediglich 95 Meldungen. Kranig: "Dies ist ein absoluter Rekordwert in unserer Geschichte als bayerische Aufsichtsbehörde." An manchen Tagen würden über 30 Vorfälle gemeldet, von Cyberattacken auf Unternehmen über unverschlüsselte Rechner in Arztpraxen bis zu fehlversendeten Versicherungsschreiben.

Bislang sanktionierte Kranig keine Verstöße gegen die DSGVO, weder mit Warnungen noch mit Verwarnungen, Geldbußen oder Widerrufen von Zertifizierungen. Einige Anweisungen und Anordnungen wurden jedoch erlassen. Das könnte sich ändern, wobei auch Betreiber kleiner Webseiten mit Bußgeldern rechnen können. Einen Vorgeschmack darauf geben die themenspezifischen Prüfbögen, die das BayLDA seit einigen Jahren stichprobenweise an ausgewählte Unternehmen verschickt.

Bußgelder für fehlende SSL-Verschlüsselungen in Aussicht gestellt

Die Frage, ob das Fehlen von SSL-Verschlüsselungen ein Verstoß gegen die DSGVO darstellen kann, ist nach Ansicht der Datenschutzaufsichtsbehörden geklärt: Das BayLDA hat die Problematik in ihren aktuellen Prüfkatalog aufgenommen. So prüfte es zwischen Februar und August vergangenen Jahres 172 Webseiten darauf, ob sie das weit verbreitete Content-Management-System Wordpress verwendeten. 18 Webseiten, die Wordpress tatsächlich einsetzten, wurden hinsichtlich der HTTPS-Implementierung, der aktuellen Version der Wordpress-Installation und der eingesetzten Wordpress-Plugins überprüft. Alle Webseiten wiesen Mängel auf. Bei vier Seiten war die WP-Version so veraltet, dass sie zahlreiche längst bekannte Sicherheitslücken enthielt. Sechs Webseiten verfügten nicht über eine HTTPS-Verschlüsselung, teilweise konnte sogar der Admin-Bereich unverschlüsselt aufgerufen werden.

Zwar stellten die Betreiber die Mängel nach einem Anschreiben der Behörde zunächst ab. Eine Nachprüfung Ende 2018 zeigte aber, dass einzelne Verantwortliche anschließend trotz neuer Sicherheitslücken wieder keine Patches durchgeführt hatten. Die Behörde erwägt künftig, in solchen Fällen die Betreiber nicht mehr erneut zu kontaktieren, sondern direkt Bußgeldverfahren einzuleiten.

Ob auch andere Organisationen in solchen Fragen tätig werden können, ist noch nicht klar: Derzeit verschickt die IGD Interessengemeinschaft Datenschutz e.V. im größeren Stil Abmahnungen in Höhe von 285,60 Euro wegen fehlender SSL-Verschlüsselungen auf Webseiten. Aus Sicht des baden-württembergischen Landesdatenschützers Stefan Brink ist das "der erste breitere Versuch, nach der DSGVO Abmahnungen auszusprechen". Sie sind rechtlich fragwürdig, weil die Wettbewerbswidrigkeit von DSGVO-Verstößen vom Bundesgerichtshof noch nicht abschließend geklärt wurde. Mehrere Landgerichte sprachen sich bislang dagegen aus, das OLG Hamburg jedoch dafür.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Patch-Management-Prüfungen 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Frommer Legal
Große Abmahnwelle wegen Filesharing in Deutschland

Viele Menschen suchen derzeit Hilfe bei einer Anwaltskanzlei, weil sie wegen angeblich illegalem Filesharing abgemahnt wurden.

Frommer Legal: Große Abmahnwelle wegen Filesharing in Deutschland
Artikel
  1. Kriminalität: Dresdnerin wegen Mordauftrag im Darknet angeklagt
    Kriminalität
    Dresdnerin wegen Mordauftrag im Darknet angeklagt

    Eine 41-Jährige aus Dresden ist angeklagt, im Darknet einen Mord in Auftrag gegeben zu haben. Für die Ermordung der neuen Freundin ihres Ex-Mannes soll sie 0,2 Bitcoin geboten haben.

  2. Fernseher zum Bestpreis beim Amazon Prime Day
     
    Fernseher zum Bestpreis beim Amazon Prime Day

    Neben vielen anderen interessanten Produkten gibt es viele hochqualitative Fernseher zu niedrigen Preisen.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Ärger um Drachenlord: Dorf verhängt Allgemeinverfügung wegen umstrittenem Youtuber
    Ärger um Drachenlord
    Dorf verhängt Allgemeinverfügung wegen umstrittenem Youtuber

    Seit Jahren ist das Dorf Altschauerberg Schauplatz von Provokationen gegen den Youtuber Rainer Winkler. Jetzt sollen neue Gesetze die Ordnung wiederherstellen.

daydreamer42 28. Mär 2019

Und wenn nicht, was dann? Dann bleiben Vereinswebseiten und andere kleine Angebote...

quineloe 26. Mär 2019

Ich hätte auch schreiben können, dass wir DSGVO-Konform unterwegs sind, aber das ist...

Schnarchnase 25. Mär 2019

Wir legen schon alle möglichen Informationen auf den Tisch, leider wird gerne vorne...

mgutt 23. Mär 2019

Witzig wird es auch, wenn ich einfach sagen, dass ich die Entwicklung übernommen habe...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day nur noch heute • SSD (u. a. Samsung 980 Pro 1TB PCIe 4.0 140,19€) • Gaming-Laptops von Razer & MSI • Crucial 32GB Kit DDR4-4000 269,79€ • 30% auf Warehouse • Primetime bei Saturn (u. a. Switch Lite 166,24€) • Gaming-Chairs • MM Gönn dir Dienstag [Werbung]
    •  /