Wir sagen, wen die Aufsichtsbehörden bestraft haben, wie und was sich darauf auswirken kann.
/ Foto Marco Verch CC BYDie DSGVO ist vor über einem Jahr in Kraft getreten. In dieser Zeit verhängte die Europäische Kommission fast hundert Bußgelder - der Gesamtbetrag überstieg mehrere zehn Millionen Euro. Wir haben
letztes Mal über einige von ihnen gesprochen.
Heute setzen wir das Thema fort - wir sprechen über neue „Glücksbriefe“ und wir diskutieren die Auswirkungen der Allgemeinen Datenschutzverordnung auf die Regulierung in anderen Ländern.
Neue Bußgelder
Interessanterweise wurde eines der frischesten von IDdesign, einem Unternehmen, das Möbel verkauft, geschrieben. Die Organisation verstieß gegen die Anforderungen des
fünften Artikels der DSGVO . Es heißt, dass es möglich ist, die persönlichen Daten der Benutzer nicht länger als für die Verarbeitungsziele erforderlich zu speichern. IDdesign hat 385.000 Kunden nicht rechtzeitig gelöscht. Diese Funktion wurde im neuen CRM-System des Unternehmens nicht implementiert. Infolgedessen erhielt das Möbelgeschäft die höchste Geldbuße, die die dänische Regulierungsbehörde seit Inkrafttreten der DSGVO verhängt hatte - 200.000 Euro.
Der Zahlungsdienst von MisterTango wurde für einen ähnlichen Verstoß in Litauen bestraft. Das Unternehmen hat die personenbezogenen Daten der Kunden nicht gelöscht, als die Notwendigkeit ihrer Verarbeitung verschwand. Außerdem haben die Mitarbeiter des Unternehmens die Aufsichtsbehörde nicht über den Vorfall des letzten Jahres informiert, als versehentlich Informationen über 9.000 Zahlungsvorgänge öffentlich bekannt wurden. MisterTango musste 61 Tausend Euro bezahlen.
In Deutschland erhielt das Transportunternehmen Kolibri Image eine Geldstrafe. Sie wurde
angewiesen, 5.000 Euro für einen Verstoß
zu zahlen, der mit einem Fehler bei der Erstellung der Dokumentation verbunden war. Eine weitere Geldstrafe von zweitausend Euro
wurde an eine Privatperson verhängt. Der Benutzer hat eine E-Mail an eine große Anzahl von Empfängern gesendet und den Typ als CC (Kopie) und nicht als BCC (Blind Carbon Copy) festgelegt. Infolgedessen sahen andere Empfänger die E-Mail-Adresse. Diese Situation wurde als Verlust personenbezogener Daten angesehen.
Ein ähnlicher Verstoß wurde übrigens einige Jahre zuvor in Großbritannien
verzeichnet . Nur in diesem Fall erhielt die Klinik eine Geldstrafe (in Höhe von 180.000 Pfund) für HIV-Patienten. Dann wurde die Geldbuße gemäß der Datenschutzrichtlinie verhängt, die durch die DSGVO ersetzt wurde. Es wird
angenommen, dass eine GDPR-Organisation einen Scheck über einen viel größeren Betrag ausstellen müsste.
Ist die DSGVO wirksam?
Vertreter der Europäischen Kommission sind der Ansicht, dass die DSGVO im vergangenen Jahr ihre Wirksamkeit bewiesen hat. Demnach haben die Vorschriften dazu beigetragen, die Nutzer auf das Problem der Datensicherheit aufmerksam zu machen. Beispielsweise hat sich die Zahl der von der britischen Regulierungsbehörde registrierten Anträge im vergangenen Jahr fast verdoppelt - von 21.000 auf 41.000.
In der IT-Branche gibt es jedoch die Meinung, dass die DSGVO gerade einen weiteren Markt für Anwaltskanzleien und Berater geschaffen hat. Laut Bjørn Stormorken, CFO der schwedischen sozialen Plattform Idka AB, ist das Hauptziel, das Unternehmen in dem neuen Umfeld verfolgen, nicht die Datensicherheit. Dies ist der Wunsch, die Anforderungen der DSGVO mit minimalen Kosten zu erfüllen.
Einige Aufsichtsbehörden haben es nicht eilig, Verstöße zu bestrafen. Ungefähr zehn Länder der Europäischen Union haben keine einzige Geldbuße gegen die DSGVO erlassen. Unter ihnen sind: Belgien, Kroatien, Tschechische Republik, Finnland, Spanien usw. Einige Staaten beschränkten sich auf relativ kleine Sanktionen. In Lettland beträgt die maximale Rückforderung bisher 2.000 Euro und in Bulgarien 5.000 Euro.
Obwohl Experten sagen, dass wir in Zukunft einen starken Anstieg der Anzahl der Geldbußen und ihrer Größe erwarten können. Irland untersucht bereits die Angelegenheiten mehrerer großer amerikanischer IT-Unternehmen. Wahrscheinlich werden positive Entscheidungen über sie getroffen.
Auswirkungen der DSGVO außerhalb der EU
Viele Staaten sind in die Fußstapfen der DSGVO getreten und haben ihre Datenschutzgesetze ausgearbeitet. Letztes Jahr wurde in Indien eine Gesetzesvorlage eingeführt. Die Autoren sagen, dass das Dokument unter Berücksichtigung der Besonderheiten der IT-Regulierung im Land erstellt wurde, aber auch ausländische Erfahrungen eingeführt wurden. Ein weiteres Beispiel ist die CCPA, die in Kalifornien zugelassen wurde. Wir haben in unserem Blog über diese beiden Rechnungen gesprochen -
hier und
hier .
/ Foto Alexander Gerst CC BY-SAEin der DSGVO ähnliches Gesetz beschloss, China einzuführen - seine endgültige Fassung wurde Anfang dieses Jahres vorgestellt. Die Autoren des Gesetzes selbst
sagen, dass es „auf der Grundlage“ der DSGVO geschaffen wurde. Ziel ist es, den Menschen in China mehr Kontrolle über ihre persönlichen Daten zu geben.
Chinesische Regulierungsbehörden haben bereits begonnen, das "Ausmaß des Problems" zu bewerten. Seit Januar überprüfen sie beliebte Smartphone-Apps und prüfen, ob sie überschüssige Benutzerinformationen sammeln. Schecks betrafen Lieferservices, Taxis und Seefahrer.
Einige glauben, dass das neue Gesetz zu einem gemeinsamen Nenner von 200 anderen Vorschriften im Zusammenhang mit der Cybersicherheit führen wird. Professor Qi Aimic von der Chongqing-Universität stellte jedoch
fest, dass der neue Gesetzentwurf die DSGVO nicht kopieren sollte, da China mehr Internetnutzer und eine der am weitesten entwickelten digitalen Volkswirtschaften der Welt hat.
Die Zeit wird zeigen, wie sich die chinesische Gesetzesvorlage manifestieren wird und welche Auswirkungen sie auf die Weltgemeinschaft haben wird. In Vietnam wurde bereits ein chinesisches Gesetz ausgearbeitet. In Tansania arbeiten sie eng mit chinesischen Gesetzgebern zusammen, die für den Cyberspace zuständig sind.
Worüber schreiben wir in unserem Telegrammkanal:
Weitere Materialien zur PD-Regulierung in unserem Blog: