Abo
  • IT-Karriere:

DSGVO: Zeitenwechsel im Datenschutz

Mehr Sanktionen, weniger Beratungen. Das droht, wenn die Politik die Datenschutz-Aufsichtsbehörden weiterhin personell und finanziell zu knapp hält. Die bayerische Datenschutzaufsichtsbehörde hat für den Standort Bayern jetzt eine drastische Kursänderung angekündigt.

Artikel von Christiane Schulzki-Haddouti veröffentlicht am
Bayerns Datenschutzbehörde will Veränderungen.
Bayerns Datenschutzbehörde will Veränderungen. (Bild: Capri23auto)

Der Standort München gehört zu den besten IT-Standorten in Europa. Dort finden sich zahlreiche Zweigniederlassungen internationaler IT-Firmen wie Microsoft, Adobe, AMD, Apple, Cisco Systems, IBM oder Oracle. Vor dieser illustren Kulisse agierte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bislang äußerst zurückhaltend: Beratungen waren das Hauptgeschäft, Sanktionen die Ausnahme. Inwieweit sich das Verhältnis nun umkehrt, wird die Landespolitik entscheiden müssen.

Inhalt:
  1. DSGVO: Zeitenwechsel im Datenschutz
  2. Patch-Management-Prüfungen

Das erste Praxisjahr mit der Datenschutz-Grundverordnung (DSGVO) hatte es in sich: Während 2017 rund 3.700 Beratungsanfragen im BayLDA eingingen, waren es 2018 rund 9.200. Ähnlich sieht es auch in anderen Aufsichtsbehörden aus, weshalb sie derzeit darüber diskutieren, ob Beratungen überhaupt zu den Pflichtaufgaben gehören. Grundsätzlich sieht BayLDA-Leiter Thomas Kranig sie positiv, da "wir so erfahren haben, welche Bearbeitungen in der Praxis stattfinden oder geplant sind". Angesichts des Ansturms sieht er sich jedoch gezwungen, die Anfragen aus Kapazitätsgründen zunehmend abzulehnen.

Der Grund: Der nächste Landeshaushalt sieht keine neuen Personalstellen für die Datenschutzaufsicht vor - es soll bei den gegenwärtig 24 Planstellen bleiben. Anlässlich der Vorstellung seines Tätigkeitsberichts kündigte Kranig die Konsequenz an: Er müsse die Beratungsleistungen der Aufsichtsbehörde nun "weitgehend einstellen". Für ihn ist das eine Art Kapitulation, da er bisher nach dem Leitsatz gehandelt habe, dass "jede Beratung, die dazu beiträgt, dass kein Datenschutzverstoß begangen wird, viel mehr wert ist als zahlreiche Sanktionen".

Kranig steht damit nicht allein. Die niedersächsische Landesdatenschutzbeauftragte stellte die individuelle Beratung bereits im November weitgehend ein. Allein Vereine und Verbände werden über eine eigene Hotline noch weiter telefonisch beraten.

Massiv gestiegene Meldungen von Datenschutzverstößen

Stellenmarkt
  1. GBA Professional e. Kfr., Ahrensfelde-Lindenberg
  2. über Kienbaum Consultants International GmbH, Stuttgart

Die Belastung der Mitarbeiter steigt auch mit der neu eingeführten Meldepflicht für Datenschutzverstöße. 2.376 Meldungen gingen nach dem 25. Mai ein, davor waren es seit Jahresanfang lediglich 95 Meldungen. Kranig: "Dies ist ein absoluter Rekordwert in unserer Geschichte als bayerische Aufsichtsbehörde." An manchen Tagen würden über 30 Vorfälle gemeldet, von Cyberattacken auf Unternehmen über unverschlüsselte Rechner in Arztpraxen bis zu fehlversendeten Versicherungsschreiben.

Bislang sanktionierte Kranig keine Verstöße gegen die DSGVO, weder mit Warnungen noch mit Verwarnungen, Geldbußen oder Widerrufen von Zertifizierungen. Einige Anweisungen und Anordnungen wurden jedoch erlassen. Das könnte sich ändern, wobei auch Betreiber kleiner Webseiten mit Bußgeldern rechnen können. Einen Vorgeschmack darauf geben die themenspezifischen Prüfbögen, die das BayLDA seit einigen Jahren stichprobenweise an ausgewählte Unternehmen verschickt.

Bußgelder für fehlende SSL-Verschlüsselungen in Aussicht gestellt

Die Frage, ob das Fehlen von SSL-Verschlüsselungen ein Verstoß gegen die DSGVO darstellen kann, ist nach Ansicht der Datenschutzaufsichtsbehörden geklärt: Das BayLDA hat die Problematik in ihren aktuellen Prüfkatalog aufgenommen. So prüfte es zwischen Februar und August vergangenen Jahres 172 Webseiten darauf, ob sie das weit verbreitete Content-Management-System Wordpress verwendeten. 18 Webseiten, die Wordpress tatsächlich einsetzten, wurden hinsichtlich der HTTPS-Implementierung, der aktuellen Version der Wordpress-Installation und der eingesetzten Wordpress-Plugins überprüft. Alle Webseiten wiesen Mängel auf. Bei vier Seiten war die WP-Version so veraltet, dass sie zahlreiche längst bekannte Sicherheitslücken enthielt. Sechs Webseiten verfügten nicht über eine HTTPS-Verschlüsselung, teilweise konnte sogar der Admin-Bereich unverschlüsselt aufgerufen werden.

Zwar stellten die Betreiber die Mängel nach einem Anschreiben der Behörde zunächst ab. Eine Nachprüfung Ende 2018 zeigte aber, dass einzelne Verantwortliche anschließend trotz neuer Sicherheitslücken wieder keine Patches durchgeführt hatten. Die Behörde erwägt künftig, in solchen Fällen die Betreiber nicht mehr erneut zu kontaktieren, sondern direkt Bußgeldverfahren einzuleiten.

Ob auch andere Organisationen in solchen Fragen tätig werden können, ist noch nicht klar: Derzeit verschickt die IGD Interessengemeinschaft Datenschutz e.V. im größeren Stil Abmahnungen in Höhe von 285,60 Euro wegen fehlender SSL-Verschlüsselungen auf Webseiten. Aus Sicht des baden-württembergischen Landesdatenschützers Stefan Brink ist das "der erste breitere Versuch, nach der DSGVO Abmahnungen auszusprechen". Sie sind rechtlich fragwürdig, weil die Wettbewerbswidrigkeit von DSGVO-Verstößen vom Bundesgerichtshof noch nicht abschließend geklärt wurde. Mehrere Landgerichte sprachen sich bislang dagegen aus, das OLG Hamburg jedoch dafür.

Patch-Management-Prüfungen 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. Age of Wonders: Planetfall für 39,99€, Imperator: Rome für 23,99€, Stellaris für 9...
  2. (aktuell u. a. Acer One 10 Tablet-PC für 279,00€, Asus Zenforce Handy für 279,00€, Deepcool...
  3. 799,00€ (Bestpreis!)
  4. 1.199,00€

daydreamer42 28. Mär 2019

Und wenn nicht, was dann? Dann bleiben Vereinswebseiten und andere kleine Angebote...

quineloe 26. Mär 2019

Ich hätte auch schreiben können, dass wir DSGVO-Konform unterwegs sind, aber das ist...

Schnarchnase 25. Mär 2019

Wir legen schon alle möglichen Informationen auf den Tisch, leider wird gerne vorne...

mgutt 23. Mär 2019

Witzig wird es auch, wenn ich einfach sagen, dass ich die Entwicklung übernommen habe...


Folgen Sie uns
       


E-Trofit elektrifiziert Dieselbusse - Bericht

Die Ingolstädter Firma E-Trofit elektrifiziert Dieselbusse. Golem.de hat sich die Umrüstung vorführen lassen.

E-Trofit elektrifiziert Dieselbusse - Bericht Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

    •  /