• IT-Karriere:
  • Services:

DSGVO: Zeitenwechsel im Datenschutz

Mehr Sanktionen, weniger Beratungen. Das droht, wenn die Politik die Datenschutz-Aufsichtsbehörden weiterhin personell und finanziell zu knapp hält. Die bayerische Datenschutzaufsichtsbehörde hat für den Standort Bayern jetzt eine drastische Kursänderung angekündigt.

Artikel von Christiane Schulzki-Haddouti veröffentlicht am
Bayerns Datenschutzbehörde will Veränderungen.
Bayerns Datenschutzbehörde will Veränderungen. (Bild: Capri23auto)

Der Standort München gehört zu den besten IT-Standorten in Europa. Dort finden sich zahlreiche Zweigniederlassungen internationaler IT-Firmen wie Microsoft, Adobe, AMD, Apple, Cisco Systems, IBM oder Oracle. Vor dieser illustren Kulisse agierte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bislang äußerst zurückhaltend: Beratungen waren das Hauptgeschäft, Sanktionen die Ausnahme. Inwieweit sich das Verhältnis nun umkehrt, wird die Landespolitik entscheiden müssen.

Inhalt:
  1. DSGVO: Zeitenwechsel im Datenschutz
  2. Patch-Management-Prüfungen

Das erste Praxisjahr mit der Datenschutz-Grundverordnung (DSGVO) hatte es in sich: Während 2017 rund 3.700 Beratungsanfragen im BayLDA eingingen, waren es 2018 rund 9.200. Ähnlich sieht es auch in anderen Aufsichtsbehörden aus, weshalb sie derzeit darüber diskutieren, ob Beratungen überhaupt zu den Pflichtaufgaben gehören. Grundsätzlich sieht BayLDA-Leiter Thomas Kranig sie positiv, da "wir so erfahren haben, welche Bearbeitungen in der Praxis stattfinden oder geplant sind". Angesichts des Ansturms sieht er sich jedoch gezwungen, die Anfragen aus Kapazitätsgründen zunehmend abzulehnen.

Der Grund: Der nächste Landeshaushalt sieht keine neuen Personalstellen für die Datenschutzaufsicht vor - es soll bei den gegenwärtig 24 Planstellen bleiben. Anlässlich der Vorstellung seines Tätigkeitsberichts kündigte Kranig die Konsequenz an: Er müsse die Beratungsleistungen der Aufsichtsbehörde nun "weitgehend einstellen". Für ihn ist das eine Art Kapitulation, da er bisher nach dem Leitsatz gehandelt habe, dass "jede Beratung, die dazu beiträgt, dass kein Datenschutzverstoß begangen wird, viel mehr wert ist als zahlreiche Sanktionen".

Kranig steht damit nicht allein. Die niedersächsische Landesdatenschutzbeauftragte stellte die individuelle Beratung bereits im November weitgehend ein. Allein Vereine und Verbände werden über eine eigene Hotline noch weiter telefonisch beraten.

Massiv gestiegene Meldungen von Datenschutzverstößen

Stellenmarkt
  1. Dataport, Bremen, Magdeburg, Hamburg
  2. transmed Transport GmbH, Regensburg

Die Belastung der Mitarbeiter steigt auch mit der neu eingeführten Meldepflicht für Datenschutzverstöße. 2.376 Meldungen gingen nach dem 25. Mai ein, davor waren es seit Jahresanfang lediglich 95 Meldungen. Kranig: "Dies ist ein absoluter Rekordwert in unserer Geschichte als bayerische Aufsichtsbehörde." An manchen Tagen würden über 30 Vorfälle gemeldet, von Cyberattacken auf Unternehmen über unverschlüsselte Rechner in Arztpraxen bis zu fehlversendeten Versicherungsschreiben.

Bislang sanktionierte Kranig keine Verstöße gegen die DSGVO, weder mit Warnungen noch mit Verwarnungen, Geldbußen oder Widerrufen von Zertifizierungen. Einige Anweisungen und Anordnungen wurden jedoch erlassen. Das könnte sich ändern, wobei auch Betreiber kleiner Webseiten mit Bußgeldern rechnen können. Einen Vorgeschmack darauf geben die themenspezifischen Prüfbögen, die das BayLDA seit einigen Jahren stichprobenweise an ausgewählte Unternehmen verschickt.

Bußgelder für fehlende SSL-Verschlüsselungen in Aussicht gestellt

Die Frage, ob das Fehlen von SSL-Verschlüsselungen ein Verstoß gegen die DSGVO darstellen kann, ist nach Ansicht der Datenschutzaufsichtsbehörden geklärt: Das BayLDA hat die Problematik in ihren aktuellen Prüfkatalog aufgenommen. So prüfte es zwischen Februar und August vergangenen Jahres 172 Webseiten darauf, ob sie das weit verbreitete Content-Management-System Wordpress verwendeten. 18 Webseiten, die Wordpress tatsächlich einsetzten, wurden hinsichtlich der HTTPS-Implementierung, der aktuellen Version der Wordpress-Installation und der eingesetzten Wordpress-Plugins überprüft. Alle Webseiten wiesen Mängel auf. Bei vier Seiten war die WP-Version so veraltet, dass sie zahlreiche längst bekannte Sicherheitslücken enthielt. Sechs Webseiten verfügten nicht über eine HTTPS-Verschlüsselung, teilweise konnte sogar der Admin-Bereich unverschlüsselt aufgerufen werden.

Zwar stellten die Betreiber die Mängel nach einem Anschreiben der Behörde zunächst ab. Eine Nachprüfung Ende 2018 zeigte aber, dass einzelne Verantwortliche anschließend trotz neuer Sicherheitslücken wieder keine Patches durchgeführt hatten. Die Behörde erwägt künftig, in solchen Fällen die Betreiber nicht mehr erneut zu kontaktieren, sondern direkt Bußgeldverfahren einzuleiten.

Ob auch andere Organisationen in solchen Fragen tätig werden können, ist noch nicht klar: Derzeit verschickt die IGD Interessengemeinschaft Datenschutz e.V. im größeren Stil Abmahnungen in Höhe von 285,60 Euro wegen fehlender SSL-Verschlüsselungen auf Webseiten. Aus Sicht des baden-württembergischen Landesdatenschützers Stefan Brink ist das "der erste breitere Versuch, nach der DSGVO Abmahnungen auszusprechen". Sie sind rechtlich fragwürdig, weil die Wettbewerbswidrigkeit von DSGVO-Verstößen vom Bundesgerichtshof noch nicht abschließend geklärt wurde. Mehrere Landgerichte sprachen sich bislang dagegen aus, das OLG Hamburg jedoch dafür.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Patch-Management-Prüfungen 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de
  3. 419,00€ (Bestpreis!)

daydreamer42 28. Mär 2019

Und wenn nicht, was dann? Dann bleiben Vereinswebseiten und andere kleine Angebote...

quineloe 26. Mär 2019

Ich hätte auch schreiben können, dass wir DSGVO-Konform unterwegs sind, aber das ist...

Schnarchnase 25. Mär 2019

Wir legen schon alle möglichen Informationen auf den Tisch, leider wird gerne vorne...

mgutt 23. Mär 2019

Witzig wird es auch, wenn ich einfach sagen, dass ich die Entwicklung übernommen habe...


Folgen Sie uns
       


VW-Elektroautos aus Zwickau - Bericht

Der Volkswagen-Konzern will ab 2020 in Zwickau nur noch Elektroautos bauen - wir haben uns die Umstellung angesehen.

VW-Elektroautos aus Zwickau - Bericht Video aufrufen
Gardena: Open Source, wie es sein soll
Gardena
Open Source, wie es sein soll

Wenn Entwickler mit Zeitdruck nach Lösungen suchen und sich dann für Open Source entscheiden, sollte das anderen als Vorbild dienen, sagen zwei Gardena-Entwickler in einem Vortrag. Der sei auch eine Anleitung dafür, das Management von der Open-Source-Idee zu überzeugen - was auch den Nutzern hilft.
Ein Bericht von Sebastian Grüner

  1. Linux-Kernel Machine-Learning allein findet keine Bugs
  2. KernelCI Der Linux-Kernel bekommt einheitliche Test-Umgebung
  3. Linux-Kernel Selbst Google ist unfähig, Android zu pflegen

Surface Laptop 3 (15 Zoll) im Test: Das 15-Zoll-Macbook mit Windows 10 und Ryzen
Surface Laptop 3 (15 Zoll) im Test
Das 15-Zoll-Macbook mit Windows 10 und Ryzen

Was passiert, wenn ein 13-Zoll-Notebook ein 15-Zoll-Panel erhält? Es entsteht der Surface Laptop 3. Er ist leicht, sehr gut verarbeitet und hat eine exzellente Tastatur. Das bereitet aber nur Freude, wenn wir die wenigen Anschlüsse und den recht kleinen Akku verkraften können.
Ein Test von Oliver Nickel

  1. Surface Laptop 3 mit 15 Zoll Microsoft könnte achtkernigen Ryzen verbauen

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

    •  /