Anfang diesen Jahres sahen sich viele Unternehmen mit den Anforderungen der neuen Datenschutzgrundverordnung (DSGVO) konfrontiert.
Bei unserer Arbeit mussten wir feststellen, dass sich auch sechs Monate später in vielen Betrieben, Vereinen, Stiftungen, u.a. Datenschutz-Baustellen finden.
Dies nicht nur im digitalen, sondern auch im anlogen Bereich. Beispielhaft seien nur einmal mangelnde Sicherheitskonzepte bei Besucherverkerhr genannt.
Aber selbstverständlich sind die größeren Probleme im digitalen Bereich zu finden. Noch beinahe wöchentlich weisen wir unsere Mandanten im Rahmen des Audits (u.a. Auslesen des Quellcodes), bei der Erstellung der Datenschutzerklärung für Webseiten, auf die Notwendigkeit von SSL-Verschlüsselung hin, welche nach Art. 32 Abs. 1 DSGVO als Stand der Technik vorgeschrieben ist. Selbiges gilt für den sog. Cookie – Banner.
Solche Verstöße gegen Art. 32 DSGVO wurden nunmehr mit Bußgeldern bestraft.
Wie wichtig die Implementierung von Datenschutzsystem sind zeigt ein aktueller Fall aus Baden-Württemberg:
Ein Social – Media – Anbieter hatte eine Datenpanne im eigenen Unternehmen gemeldet, nachdem bemerkt wurde, dass bei einem Hackerangriff ca. 330.000 personenbezogene Namen entwedet und veröffentlicht worden waren.
Dabei wurde dem LfDI (Landesbeauftragter für Datenschutz und die Informationsfreiheit) bekannt, dass das Unternehmen die Passwörter der Nutzer im Klartext, also unverschüsselt und unverfremdet gespeichert hatte.
Dies stellt einen Verstoß gegen Art. 32 Abs. 1 DSGVO – die Datensicherung nach dem aktuellen Stand der Technik – dar.
Die Folge: 20.000,- € Strafe.
(Quelle: https://rsw.beck.de/aktuell/meldung/lfdi-baden-wuerttemberg-bussgeld-fuer-social-media-anbieter).
Noch schlimmer erging es einem Krankenhaus in Portugal. Die Verantwortlichen hatten bewusst dafür gesorgt, dass Nutzer mit dem Profil „Techniker“ in den IT-System auf Daten zugreifen konnten, die eigentlich nur für Ärzte einsehbar sein sollten.
Darüber hinaus arbeiten in dem Krankenhaus 296 Ärzte. Im System waren jedoch 985 aktive Benutzer als Arzt registriert. Auch hier, u.a. ein Verstoß gegen Art. 32 Abs. 1 DSGVO.
Die Folge: 400.000,- € Strafe
(Quelle: http://www.faz.net/aktuell/wirtschaft/diginomics/dsgvo-strafe-krankenhaus-in-portugal-muss-400-000-euro-zahlen-15852321.html).
Dies sind nur die bisher bekannt gewordenen Fälle. Die Datenschutzbeauftragten der Länder haben bereits vielfach angegeben, dass noch in diesem Jahr Bußgelder „in erheblichem Umfang“ anfallen.
Nichts anderes ist nächstes Jahr zu erwarten, insbesondere weil die Datenschutzebehörden der Bundesländer einen Schwung neuer Mitarbeiter zur Verfügung gestellt bekommen haben.
(Quelle: https://www.handelsblatt.com/politik/deutschland/datenschutz-grundverordnung-unternehmen-drohen-bussgelder-in-erheblichem-umfang/23244866.html)
Zuletzt noch ein Hinweis zum Jahresende:
Die Bennenung des Datenschutzbeauftragten muss zeitnah erfolgen.
Viele Unternehmen scheuen noch die Benennung eines Datenschutzbeauftragten, sowohl intern, als auch gegenüber den Landesdatenschutzbeauftragten.
Die Gedanken der Unternehmer wiederholen sich dabei:
- Notwendigkeit der Bestellung
- Einen internen oder einen externen Datenschutzbeauftragten wählen?
- Folgen der Benennung eines internen Datenschutzbeauftragten (Kündigungsschutz)
- Kosten eines externen Datenschutzbeauftragten
In NRW stellt die Nichtbenennung bis zum 31.12.2018 noch keinen Verstoß dar. Auf der Seite der Landesdatenschutzbeauftragten heißt es:
„Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.“
Es kann niemandem Empfohlen werden auszutesten, was ab dem 01.01.2019 bei der Nichtbenennung eines Datenschutzbeauftragten für Strafen fällig werden.
Wenn Sie sich unsicher sind, ob Sie einen Datenschutzbeauftragten benötigen oder jemanden suchen, sprechen Sie uns an, wir vermitteln Ihnen gerne geprüfte Datenschutzbeauftragte für Ihr Unternehmen.
Bei allen Fragen rund um Datenschutz und IT-Recht, wenden Sie sich gerne an Rechtsanwalt Matthias Draheim. Dieser steht Ihnen sowohl im Vorfeld, zur Überprüfung Ihrer Sicherheitssystem, Erstellung von Datenschutzerklärungen und Verträgen als auch nach Beschwerden und Anschreiben durch die Datenschutzbeauftragten von Bund und Ländern, zur Seite.
Aachen im November 2018
Draheim, Rechtsanwalt
