Die DDRP trat vor mehr als sechs Monaten in Kraft, aber die Aufsichtsbehörden begannen erst vor kurzem, die ersten „Glücksbriefe“ zu schreiben. Das Material handelt von den Unternehmen, die sie bereits erhalten haben.
/ Foto Kiefer CC BY-SASoft Start GDPR
Die DSGVO
trat am 25. Mai 2018 in Kraft . Zu diesem Zeitpunkt mussten alle Organisationen, die personenbezogene Daten von Bewohnern der Europäischen Union speichern und verarbeiten, die Nutzungsvereinbarungen aktualisieren und alle Arbeitsprozesse gemäß den Anforderungen der Verordnung bringen. Bei Nichteinhaltung der Anforderungen wurde eine Geldbuße in Höhe von 20 Millionen Euro oder vier Prozent des Jahresumsatzes des betreffenden Unternehmens verhängt.
Aber nicht alle Unternehmen haben die Vorschriften mit gebührender Aufmerksamkeit behandelt. Laut einer Studie von Analysten des Ponemon Institute hat mehr als die Hälfte der europäischen und amerikanischen Organisationen
nicht alle GDPR-Fristen erfüllt. Daher schlugen viele große Veröffentlichungen, einschließlich
The Verge , vor, dass die europäischen Regulierungsbehörden einen „Soft Launch“ des neuen Gesetzes durchführen werden. Das heißt, für einige Zeit werden sie die Übertreter nicht bestrafen, da finanzielle Strafen das letzte Mittel sind.
Im Großen und Ganzen geschah dies, selbst so große Unternehmen wie Facebook und Google wurden nicht bestraft. Beschwerden wurden am ersten Tag der Regeln eingereicht. Dann die Klage eines australischen Anwalts und Kämpfers für Datenschutz Max Schrems (Max Schrems). Shrems behauptete, dass Unternehmen Benutzer dazu zwingen, der Verarbeitung personenbezogener Daten zuzustimmen, da der Zugang zu Diensten eingeschränkt werden könnte. Und obwohl der Fall
noch geprüft wird ,
besteht die Möglichkeit, dass die Gebühren am Ende fallengelassen werden.
Wer erhielt trotzdem Geldstrafen
Einige Monate nach Inkrafttreten der DSGVO verschärften die europäischen Regulierungsbehörden ihre Haltung gegenüber Unternehmen. Im November verhängte die Regulierungsbehörde der Region Baden-Württemberg (LfDI) eine Geldstrafe gegen die Chat-App wegen Datierung mit Knuddels. Dieser Fall war die erste Strafe für die DSGVO in Deutschland.
Im September entdeckte der Dienst eine „Lücke“, durch die Anmeldungen und Kennwörter von 330.000 Benutzern
in das Netzwerk gelangten . Es stellte sich heraus, dass alle persönlichen Daten in Form von unverschlüsselten Textdateien gespeichert wurden. Die deutsche Regulierungsbehörde verhängte gegen das Unternehmen eine Geldstrafe von 20.000 Euro. Die Menge
war relativ gering , da Knuddles das Leck umgehend meldete und sich bereit erklärte, zusätzliche Sicherheitsmaßnahmen einzuführen.
/ Foto Lagerkatalog CC BYEine weitere Strafe gegen die DSGVO, die im September bekannt wurde, wurde
von der portugiesischen Datenschutzkommission (CNPD)
verhängt . Er erhielt eines der Krankenhäuser in Portugal. In ihrem System zur Speicherung von Krankenakten wurde eine Sicherheitslücke entdeckt, die es ihr ermöglichte, mithilfe gefälschter Mitarbeiterprofile auf Patientendaten zuzugreifen. Im System wurden 985 registrierte Konten gefunden, obwohl nur 296 Ärzte im Krankenhaus arbeiteten. Die medizinische Einrichtung musste 400 Tausend Euro bezahlen.
Die erste Höchststrafe wurde wegen Verstoßes gegen die Anforderungen der DSGVO verhängt. Die britische Aufsichtsbehörde
forderte das kanadische Beratungsunternehmen AggregateIQ auf, 20 Millionen Euro für die illegale Erfassung und Verarbeitung von Daten von Nutzern sozialer Netzwerke zu zahlen, um gezielte Kampagnen durchzuführen. Jetzt versucht AggregateIQ, die Geldbuße anzufechten, aber wahrscheinlich muss sich das Unternehmen noch von seinem Geld trennen.
Wer sonst kann eine Geldstrafe bekommen
Bisher sind die Geldbußen für Verstöße gegen die DSGVO-Anforderungen (mit Ausnahme der Situation mit AggregateIQ) im Vergleich zur Höchststrafe für die Nichteinhaltung der DSGVO-Anforderungen recht gering. Der Datenschutzfachmann und Autor von Büchern über Informationssicherheit, Guy Bunker, glaubt jedoch, dass das Gesetz "immer noch seine Zähne zeigen wird". Datenlecks treten fast täglich auf, daher geht Bunker
davon aus, dass die Geldbußen in naher Zukunft erheblich steigen werden.
Benjamin Ellis, ein Berater für Informationssicherheit, stimmt ihm zu. Ihm zufolge waren die Aufsichtsbehörden zwar bereit, Unternehmen dabei zu helfen, Sicherheitslücken zu schließen, und verhängten praktisch keine Strafen. Ellis glaubt jedoch, dass Verstöße gegen die Regeln im Jahr 2019 strenger behandelt werden.
Eines der ersten großen "Opfer der DSGVO" des kommenden Jahres
könnte Microsoft sein . Dem IT-Riesen wurde vorgeworfen, die Speicherung von Benutzerdaten - IP-Adressen und Header von weitergeleiteten E-Mails - Office-Anwendungen verletzt zu haben. Gleichzeitig fielen einige dieser Daten auf Server in den USA (und nicht in Europa, wie von der DSGVO gefordert), und die Benutzer wurden nicht vor der Erfassung von Telemetrie gewarnt.
Eine weitere hohe Geldstrafe in naher Zukunft
bedroht Facebook. Im September wurde das soziale Netzwerk gehackt - Angreifer stahlen die persönlichen Daten von 50 Millionen Nutzern. Jetzt untersuchen die europäischen Regulierungsbehörden und versuchen festzustellen, ob Facebook-Nachlässigkeit zu dem Leck geführt hat und wie stark EU-Bürger von Datendiebstahl betroffen waren. Facebook muss möglicherweise bis zu vier Milliarden Dollar bezahlen.
Es ist davon auszugehen, dass im nächsten Jahr in Europa immer mehr Bußgelder für Verstöße gegen die Verarbeitung personenbezogener Daten der Nutzer verhängt werden. Mit „Öl im Feuer“ wird die Datenschutzverordnung für elektronische Kommunikation hinzugefügt, die 2019 in Kraft treten soll.
Es wird die Regeln für die Arbeit mit Cookies weiter verschärfen und IT-Unternehmen Kopfschmerzen bereiten. Und die Geldstrafen für die Nichteinhaltung seiner Anforderungen sind ebenfalls hoch: von zwei bis vier Prozent des Jahresumsatzes des schuldigen Unternehmens oder zehn Millionen Euro.
PS-bezogene Inhalte aus dem ersten Corporate IaaS-Blog:
PPS Unser Telegrammkanal über IaaS-Technologien: