Eigentlich wollte ich mich nicht in die gefühlt zu erwartenden 100.000 Blogbeiträge einreihen, aber so richtig konnte ich mich dann doch nicht davon frei machen.
Daher werde ich mich in diesem Beitrag primär auf Kennzahlen beschränken.
Strafen von bis zu 20 Millionen Euro werden fällig
Eine Übersicht der unterschiedlichen Aufsichtsbehörden ist gar nicht einfach zu bekommen, eine zentrale Übersicht existiert nicht. Eins lässt sich aber feststellen, die maximalen Bußgelder wurden nicht ansatzweise ausgesprochen, die Datenschutzaufsichtsbehörden haben mit Verstand gehandelt.
Es gibt Zahlen zwischen 75 und 100 Bußgeldern, die in Deutschland in 2018 verhängt wurden (teilweise noch auf Basis des alten Bundesdatenschutzgesetzes).
Die Gesamtsumme aller Bußgelder soll bei ungefähr 480.000 € gelegen haben.
Während Baden-Württemberg mit einer Gesamtsumme von 203.000 € Tabellenführer ist, liegt das Saarland mit einer Summe von 590 € auf dem letzten Platz.
Bei der Anzahl der verhängten Bußgelder führt Nordrhein-Westfalen mit 36 verhängten Bußgeldern, während in Sachsen-Anhalt nur ein (1) Bußgeld in Höhe von 2.000 € verhängt hat.
Aufsehenerregend war der Fall in Hamburg, wo ein Unternehmen mit einem Bußgeld von 5.000 € für einen fehlenden Auftragsverarbeitungsvertrag belegt wurde, aber dieses Bußgeld im Nachhinein wieder zurückgezogen wurde (wahrscheinlich weil es sich um gar keine Auftragsverarbeitung handelte).
Mir sind nur zwei relevante Fälle aus Baden-Württemberg im Gedächtnis, weil der dortige Landesdatenschutzbeauftragte Dr. Stefan Brink auf Twitter sehr offen und viel kommuniziert (@lfdi_bw): Ein Krankenhaus wurde wegen der versehentlichen Veröffentlichung von Gesundheitsdaten mit 80.000 € bestraft. Zitat aus dem „LfDI BW – 34. Tätigkeitsbericht 2018“:
„Der Verantwortliche wirkte bereitwillig und transparent bei der Aufklärung des Sachverhalts mit, sodass zügig die Datenschutzlücken identifiziert und geschlossen werden konnten. Für die Verbesserung der internen Kontrollmechanismen wendete der Verantwortliche dabei erhebliche Personal- und Sachmittel auf, die das Bußgeld bei Weitem überstiegen.“
Ein weiterer Fall war das unverschlüsselte Speichern von Passwörtern bei einer sozialen Plattform (ebenfalls in Baden-Württemberg), hier wurde ein Bußgeld von 20.000 € ausgesprochen, weil 330.000 Benutzerkonten und Passwörter entwendet wurden.
Dieses fehlende Gefühl für den Umgang mit Passwörtern scheint übrigens ein weitverbreitetes Problem zu sein – Facebook oder eines seiner Tochterunternehmen meldet gefühlt alle zwei Wochen, dass sie Passwörter unverschlüsselt speichern.
Ein weiterer Klassiker ist der Versand von E-Mails in denen der gesamte Verteiler in CC steht und nicht in BCC. Diese Schwachstelle ist mit Mitarbeitersensibilisierung und Schulungen sehr gut in den Griff zu kriegen.
Der Fokus der Arbeit in den Aufsichtsbehörden lag im letzten Jahr bei der Beratung zur Umsetzung der DSGVO und nicht bei der Prüfung von Unternehmen.
Es ist davon auszugehen und von einzelnen Aufsichtsbehörden auch so angekündigt, dass sich dieses Verhältnis in diesem Jahr drehen wird.
Datenpannen
Eine weitere spannende Kennzahl: 2018 wurden deutschlandweit 10.000 Datenpannen gemeldet. Wenn man bedenkt, dass nicht jede Datenpanne gemeldet werden muss, so kommt man sicherlich auf eine Dunkelziffer von 25.000 weiteren Datenpannen. Mich würde mal interessieren, ob wirklich alle Betroffenen der 10.000 Datenpannen informiert wurden…
Beschwerden
Deutlich gestiegen ist die Anzahl der Beschwerden von Betroffenen: 150.000 Beschwerden gingen EU-weit (15.000 alleine in Deutschland) bei den Aufsichtsbehörden ein. Auch ich erlebe fast wöchentlich, dass sich ein Betroffener über meine Webseite meldet und eine Beschwerde einreichen möchte – eigentlich suchen diese Personen die jeweilige Landesdatenschutzbehörde.
Fazit
Hat die DSGVO etwas erreicht? Auf jeden Fall – Datenschutz und der bewusste Umgang mit personenbezogenen Daten ist nicht nur bei den Unternehmen, sondern auch bei den Bürgern angekommen. Beide Seiten sind sensibler geworden und beachten Datenschutz. Natürlich ist noch nicht alles perfekt. Mal werden falsche Prozesse aus Unwissenheit umgesetzt, Daten nicht weitergegeben, obwohl es dringend notwendig gewesen wäre oder Auftragsverarbeitungsverträge geschlossen, obwohl gar keine Auftragsverarbeitung besteht. Aber das wird sich einschwingen und in den nächsten Jahren immer besser funktionieren. Vor allem, wenn man „Datenschutz mit Herz“ und Verstand umsetzt.
