Ein Jahr mit der DSGVO – wie ist die Bilanz?

Von Robert Nagel am 3.6.2019
Robert Nagel

Vor etwas mehr als einem Jahr trat die EU-DSGVO in Kraft. Was ist während des ersten Jahres Datenschutz-Grundverordnung geschehen? Gab es die befürchtete Welle an Beschwerden, Klagen und Strafen? Wir ziehen ein kurzes Resümee und werfen einen Blick in die DSGVO-Glaskugel. 

Seit dem 25. Mai 2018 ist die DSGVO in Kraft. Pünktlich zu ihrem einjährigen Bestehen veröffentlichten unter anderem die Wirtschaftsprüfer von Ernst & Young einen zusammenfassenden Bericht. In aller Kürze: Es gab nur wenige der befürchteten hohen Strafen. Die Schonzeit für nachlässige Unternehmen könnte aber bald vorbei sein.

DSGVO-Bilanz nach einem Jahr InkrafttretenDie EU-DSGVO trat vor einem Jahr in Kraft. Datenschützer werden in Zukunft noch genauer hinsehen

DSGVO-Strafen deutschlandweit

Die Datenlage in Deutschland ist nicht vollständig klar, denn anders als in anderen europäischen Ländern veröffentlichen die deutschen (Landes-)Datenschutzämter die Fälle nicht automatisch, sondern meist nur nach konkreten Anfragen der Presse. Dies erklärt die Diskrepanz einzelner Erhebungen.

Während die EY-Analysten etwa ermittelten, dass während des ersten Geltungsjahres der DSGVO gerade einmal 42 Verstöße mit einer Strafe geahndet wurden, kommt das „Handelsblatt“ auf die Summe von 70 Verstößen. 81 geahndete Verstößen hingegen vermeldet die „Welt am Sonntag“ unter Berufung auf eine Anfrage bei den Landesdatenschutzbeauftragten selbst.

Welche Zahl nun auch genau stimmt: Klar wird die Größenordnung der bestraften Verstöße, die sich weit unter dem Erwarteten bewegt. Durchschnittlich beliefen sich die Bußgelder auf eine Höhe von etwa 6.000 Euro, wobei die Spanne von wenigen hundert Euro bis zu hohen fünfstelligen Beträgen reicht.

DSGVO-Verstöße kosten keine Millionen

Bislang sind die befürchteten drakonischen Strafen in Millionenhöhe ebenso ausgeblieben, wie auch großteils die angekündigten Datenschutzkontrollen vor Ort. Dennoch können die Verstöße durchaus teuer werden. Die kostspieligsten Beispiele aus Deutschland sind mittlerweile bekannt.

Der erste Strafbescheid überhaupt traf die Chat-Plattform Knuddels, die Passwörter unverschlüsselt speicherte (20.000 Euro Strafe). Die höchste Strafe musste ein Krankenhaus berappen, das Gesundheitsdaten seiner Patienten versehentlich ins Netz gestellt hatte. Kosten: 80.000 Euro. Bei beiden handelt es sich um Unternehmen in Baden-Württemberg, wo der Datenschutzbeauftrage Stefan Brink für die Umsetzung der Grundverordnung verantwortlich zeichnet.


Zuletzt machte die Berliner Bank N26 in Sachen DSGVO von sich reden: Sie hatte unliebsame Kunden in einer Blacklist gespeichert und ihnen die Gründung neuer Konten verweigert. Unzulässig, wie die Berliner Beauftragte für Datenschutz und InformationsfreiheitMaja Smoltczykm, befand. Der DSGVO-Verstoß wurde mit einer Geldbuße von 50.000 Euro belegt.

Alles nur DSGVO-Einzelfälle?

Die genannten Fälle könnten allerdings nur die Spitze des Eisbergs sein. An mehreren Stellen verlautbarten die Landesdatenschützer, dass es im ersten Schritt eher darum gegangen sei, Unternehmen in Deutschland zu informieren als zu bestrafen. Diese Schonzeit könnte allerdings bald vorbei sein.

„Die Aufsichtsbehörden brauchten ein bisschen Vorlauf, weil solche Verfahren unter drei bis vier Monaten nicht abzuwickeln sind. Jetzt werden Bußgelder regelmäßig verhängt, in größerem Umfang und auch mit höheren Beträgen. Ein fünfstelliges Bußgeld wird keine Seltenheit mehr sein.. (...) Datenschutz-Vergehen sind keine Kavaliersdelikte, bei denen 120-Euro-Strafen anfallen. Es geht um fünf oder sechsstellige Beträge, in naher Zukunft auch um Bußgelder in Millionenhöhe.

Landesdatenschutzbeauftragter Stefan Brink im Interview mit dem Spiegel, 24. Januar 2019

EU-DSGVO: Bilan zu einem Jahr Datenschutz-Grundverordnung
Auch über die Verwendung eines Firmenhandys können DSGVO-Verstöße erfolgen. Unternehmen sollten das Thema Enterprise Mobility Management deswegen strategisch angehen und Konzepte wie BYOD kritisch prüfen

 

DSGVO, WhatsApp und mobile Endgeräte

Betrachten wir kurz die Art der geahndeten Verstöße, wir klar, dass nicht nur massive Datenschutzverstöße wie das unverschlüsselte Speichern von Passwörtern oder die Offenlegung von Daten an Unbefugte in Zukunft ein Problem darstellen werden.

Auch durch vermeintliche Petitessen wie das Versenden von E-Mails an offene Verteiler oder die Nutzung von WhatsApp auf dem Firmenhandy können Verstöße begründet werden. Dazu kann es schon genügen, dass Firmen ihren Mitarbeitern die Nutzung privater mobiler Endgeräte im Job gestatten („Bring Your Own Device“).

Mehr zu diesem Thema erfahren Sie in unserem Whitepaper „Bring Your Own Device  und DSGVO”, das Sie hier kostenlos herunterladen können.

 

DSGVO-Bilanz nach einem Jahr – Weblinks

Lesen Sie unser kostenloses Whitepaper:  „Bring Your Own Device“ und EU-DSGVO.


 

Themen: Mobile Device Management, EU-DSGVO, Bring Your Own Device, Datenschutz, Mobile Security

Phone as a Service

everphone unterstützt Unternehmen mit einem intelligenten Mietmodell für Firmenhandys. Unsere Themen: Datensicherheit, Usability, Enterprise Mobility, Employer Branding, Mobile Device Management, Mobiles Arbeiten und Nachhaltigkeit.

Neuer Call-to-Action

E-Mail-Abonnement

Beliebte Beiträge