Abo
  • IT-Karriere:

DSGVO: Zeitenwechsel im Datenschutz

Mehr Sanktionen, weniger Beratungen. Das droht, wenn die Politik die Datenschutz-Aufsichtsbehörden weiterhin personell und finanziell zu knapp hält. Die bayerische Datenschutzaufsichtsbehörde hat für den Standort Bayern jetzt eine drastische Kursänderung angekündigt.

Artikel von Christiane Schulzki-Haddouti veröffentlicht am
Bayerns Datenschutzbehörde will Veränderungen.
Bayerns Datenschutzbehörde will Veränderungen. (Bild: Capri23auto)

Der Standort München gehört zu den besten IT-Standorten in Europa. Dort finden sich zahlreiche Zweigniederlassungen internationaler IT-Firmen wie Microsoft, Adobe, AMD, Apple, Cisco Systems, IBM oder Oracle. Vor dieser illustren Kulisse agierte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bislang äußerst zurückhaltend: Beratungen waren das Hauptgeschäft, Sanktionen die Ausnahme. Inwieweit sich das Verhältnis nun umkehrt, wird die Landespolitik entscheiden müssen.

Inhalt:
  1. DSGVO: Zeitenwechsel im Datenschutz
  2. Patch-Management-Prüfungen

Das erste Praxisjahr mit der Datenschutz-Grundverordnung (DSGVO) hatte es in sich: Während 2017 rund 3.700 Beratungsanfragen im BayLDA eingingen, waren es 2018 rund 9.200. Ähnlich sieht es auch in anderen Aufsichtsbehörden aus, weshalb sie derzeit darüber diskutieren, ob Beratungen überhaupt zu den Pflichtaufgaben gehören. Grundsätzlich sieht BayLDA-Leiter Thomas Kranig sie positiv, da "wir so erfahren haben, welche Bearbeitungen in der Praxis stattfinden oder geplant sind". Angesichts des Ansturms sieht er sich jedoch gezwungen, die Anfragen aus Kapazitätsgründen zunehmend abzulehnen.

Der Grund: Der nächste Landeshaushalt sieht keine neuen Personalstellen für die Datenschutzaufsicht vor - es soll bei den gegenwärtig 24 Planstellen bleiben. Anlässlich der Vorstellung seines Tätigkeitsberichts kündigte Kranig die Konsequenz an: Er müsse die Beratungsleistungen der Aufsichtsbehörde nun "weitgehend einstellen". Für ihn ist das eine Art Kapitulation, da er bisher nach dem Leitsatz gehandelt habe, dass "jede Beratung, die dazu beiträgt, dass kein Datenschutzverstoß begangen wird, viel mehr wert ist als zahlreiche Sanktionen".

Kranig steht damit nicht allein. Die niedersächsische Landesdatenschutzbeauftragte stellte die individuelle Beratung bereits im November weitgehend ein. Allein Vereine und Verbände werden über eine eigene Hotline noch weiter telefonisch beraten.

Massiv gestiegene Meldungen von Datenschutzverstößen

Stellenmarkt
  1. PUREN Pharma GmbH & Co. KG, München
  2. ITC ENGINEERING GMBH & CO. KG, Stuttgart

Die Belastung der Mitarbeiter steigt auch mit der neu eingeführten Meldepflicht für Datenschutzverstöße. 2.376 Meldungen gingen nach dem 25. Mai ein, davor waren es seit Jahresanfang lediglich 95 Meldungen. Kranig: "Dies ist ein absoluter Rekordwert in unserer Geschichte als bayerische Aufsichtsbehörde." An manchen Tagen würden über 30 Vorfälle gemeldet, von Cyberattacken auf Unternehmen über unverschlüsselte Rechner in Arztpraxen bis zu fehlversendeten Versicherungsschreiben.

Bislang sanktionierte Kranig keine Verstöße gegen die DSGVO, weder mit Warnungen noch mit Verwarnungen, Geldbußen oder Widerrufen von Zertifizierungen. Einige Anweisungen und Anordnungen wurden jedoch erlassen. Das könnte sich ändern, wobei auch Betreiber kleiner Webseiten mit Bußgeldern rechnen können. Einen Vorgeschmack darauf geben die themenspezifischen Prüfbögen, die das BayLDA seit einigen Jahren stichprobenweise an ausgewählte Unternehmen verschickt.

Bußgelder für fehlende SSL-Verschlüsselungen in Aussicht gestellt

Die Frage, ob das Fehlen von SSL-Verschlüsselungen ein Verstoß gegen die DSGVO darstellen kann, ist nach Ansicht der Datenschutzaufsichtsbehörden geklärt: Das BayLDA hat die Problematik in ihren aktuellen Prüfkatalog aufgenommen. So prüfte es zwischen Februar und August vergangenen Jahres 172 Webseiten darauf, ob sie das weit verbreitete Content-Management-System Wordpress verwendeten. 18 Webseiten, die Wordpress tatsächlich einsetzten, wurden hinsichtlich der HTTPS-Implementierung, der aktuellen Version der Wordpress-Installation und der eingesetzten Wordpress-Plugins überprüft. Alle Webseiten wiesen Mängel auf. Bei vier Seiten war die WP-Version so veraltet, dass sie zahlreiche längst bekannte Sicherheitslücken enthielt. Sechs Webseiten verfügten nicht über eine HTTPS-Verschlüsselung, teilweise konnte sogar der Admin-Bereich unverschlüsselt aufgerufen werden.

Zwar stellten die Betreiber die Mängel nach einem Anschreiben der Behörde zunächst ab. Eine Nachprüfung Ende 2018 zeigte aber, dass einzelne Verantwortliche anschließend trotz neuer Sicherheitslücken wieder keine Patches durchgeführt hatten. Die Behörde erwägt künftig, in solchen Fällen die Betreiber nicht mehr erneut zu kontaktieren, sondern direkt Bußgeldverfahren einzuleiten.

Ob auch andere Organisationen in solchen Fragen tätig werden können, ist noch nicht klar: Derzeit verschickt die IGD Interessengemeinschaft Datenschutz e.V. im größeren Stil Abmahnungen in Höhe von 285,60 Euro wegen fehlender SSL-Verschlüsselungen auf Webseiten. Aus Sicht des baden-württembergischen Landesdatenschützers Stefan Brink ist das "der erste breitere Versuch, nach der DSGVO Abmahnungen auszusprechen". Sie sind rechtlich fragwürdig, weil die Wettbewerbswidrigkeit von DSGVO-Verstößen vom Bundesgerichtshof noch nicht abschließend geklärt wurde. Mehrere Landgerichte sprachen sich bislang dagegen aus, das OLG Hamburg jedoch dafür.

Patch-Management-Prüfungen 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 2,99€
  2. 4,99€
  3. 4,99€

daydreamer42 28. Mär 2019

Und wenn nicht, was dann? Dann bleiben Vereinswebseiten und andere kleine Angebote...

quineloe 26. Mär 2019

Ich hätte auch schreiben können, dass wir DSGVO-Konform unterwegs sind, aber das ist...

Schnarchnase 25. Mär 2019

Wir legen schon alle möglichen Informationen auf den Tisch, leider wird gerne vorne...

mgutt 23. Mär 2019

Witzig wird es auch, wenn ich einfach sagen, dass ich die Entwicklung übernommen habe...


Folgen Sie uns
       


Asus Prime Utopia angesehen

Asus zeigt auf der Computex 2019 eine Ideenstudie für ein neues High-End-Mainboard.

Asus Prime Utopia angesehen Video aufrufen
Bandlaufwerke als Backupmedium: Wie ein bisschen Tetris spielen
Bandlaufwerke als Backupmedium
"Wie ein bisschen Tetris spielen"

Hinter all den modernen Computern rasseln im Keller heutzutage noch immer Bandlaufwerke vor sich hin - eine der ältesten digitalen Speichertechniken. Golem.de wollte wissen, wie das im modernen Rechenzentrum aussieht und hat das GFZ Potsdam besucht, das Tape für Backups nutzt.
Von Oliver Nickel


    Elektromobilität: Wohin mit den vielen Akkus?
    Elektromobilität
    Wohin mit den vielen Akkus?

    Akkus sind die wichtigste Komponente von Elektroautos. Doch auch, wenn sie für die Autos nicht mehr geeignet sind, sind sie kein Fall für den Schredder. Hersteller wie Audi testen Möglichkeiten, sie weiterzuverwenden.
    Ein Bericht von Dirk Kunde

    1. Proterra Elektrobushersteller vermietet Akkus zur Absatzförderung
    2. Batterieherstellung Kampf um die Zelle
    3. US CPSC HP muss in den USA nochmals fast 80.000 Akkus zurückrufen

    Nuki Smart Lock 2.0 im Test: Tolles Aufsatzschloss hat Software-Schwächen
    Nuki Smart Lock 2.0 im Test
    Tolles Aufsatzschloss hat Software-Schwächen

    Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
    Ein Test von Ingo Pakalski


        •  /