EU DS-GVO Bilanz: Erste Millionenstrafen und mehr Kontrollen angekündigt

Rechtliche Vorgaben | 09. AUG 2019

Kontrollen und Strafen zur DS-GVO Schon zur Einführung der EU DS-GVO wurde vor hohen Geldstrafen bis zu 20 Mio. EUR oder 4 % des globalen Firmenumsatzes des vorangegangenen Geschäftsjahres gewarnt. Inzwischen zeigt sich, das dies ernst gemeint war. UK hat bisher die höchsten Strafen angekündigt mit umgerechnet über 200 Mio € gegen British Airways sowie 110 Mio € gegen die Marriott Hotelkette. Auch Frankreich hat bereits Millionenstrafen verhängt: Google hat es mit 50 Mio € vergleichsweise günstig getroffen.

Viele Verfahren sind noch in der Bearbeitung. Bei schon über 200.000 gemeldeten Verstößen im ersten Jahr kommen demnächst vermutlich noch einige Strafen hinzu. In Deutschland sind die Strafzahlungen bisher unter 100.000 € geblieben. Es gibt aber keinen Grund, anzunehmen, dass dies so bleibt.

Fairness im Datenschutz

Ein Jahr nach Inkrafttreten der Verordnung läuft die Umgewöhnungsphase auch aus Sicht der Datenschützer aus. „2019 wird das Jahr der Kontrolle“, verkündete der baden-württembergische Landesbeauftragte für Datenschutz- und Informationssicherheit (LDI) Dr. Stefan Brink Anfang des Jahres. Ins Visier genommen werden sollen die Bereiche Online-Handel, öffentliche Sicherheit, Verkehr, Kommunales und das Gesundheits- und Bildungswesen. Für Unternehmen, die sich noch nicht um die Umsetzung der EU DS-GVO bemüht haben, dürfte die Lage bald deutlich gefährlicher werden. Datenschutz ist auch eine Frage der Gerechtigkeit. „Wer beim Datenschutz auf Lücke setzt, darf daraus keinen Vorteil gegenüber der datenschutzkonformen Konkurrenz ziehen – das ist schon ein Gebot der Fairness“, betont der Dr. Brink.

Verschlüsselung ist sichtbar, fehlende Verschlüsselung fällt auf

Wer sich fragt, wie hoch das Risiko ist, erwischt zu werden, dem sei gesagt: Sehr hoch. Für Ihre Empfänger ist sehr einfach erkennbar, ob eine E-Mail geschützt wurde oder nicht: Verschlüsselte E-Mails erfordern entsprechende Software, ein Portal mit Login oder wenigstens die Eingabe eine Passwortes beim Öffnen einer Datei. Fehlen diese Sicherheitsmerkmale, ist die E-Mail nicht verschlüsselt.

Ob ihr Kommunikationspartner darüber Meldung machen, wenn Sie seine personenbezogenen Daten unverschlüsselt versenden, ist natürlich ungewiss. Beachten Sie aber, dass die EU DS-GVO nicht nur umgesetzt werden muss, sondern dass dies auch nachweisbar geschehen muss.

Mit unseren professionellen Z1 Verschlüsselungslösungen zum E-Mail- und Datentransfer für Unternehmen gelingt Ihnen sowohl die Umsetzung als auch der Nachweis zur EU DS-GVO spielend. Sollten Sie noch keine Lösung zur Inhaltsverschlüsselung von E-Mails nutzen, fragen Sie am besten heute noch an.

Unsere Einschätzung zur Nutzbarkeit von TLS zur Umsetzung der EU DS-GVO finden Sie hier.

Festgesetzte Strafzahlung Unternehmen (Land) Verstoß
£183.39
entspricht ca. 204 EUR Mio.

British Airways (UK)

Unzureichende Sicherheitsmaßnahmen haben dazu geführt, dass Daten die auf der British Airways Website eingegeben wurden illegal umgeleitet und dort gesammelt werden konnten. Ca. 500.000 Kunden waren betroffen.

£99,200,396
entspricht ca. 110 Mio. EUR
Marriott International Inc.(UK)

Offenlegung von 339 Mio. Datensätzen, von denen ca. 30 Mio Datensätze personenbezogene Daten europäische Bürger enthielten. Die Hotelkette wurde während des Angriffs verkauft. Im Verkaufsprozess wurde die IT-Sicherheit nicht hinreichend geprüft.

50 Mio EUR

Google Inc. (Frankreich)

Transparenz- und Informationspflicht nicht eingehalten und unzulässige Einholung der Einwilligung zur Datenverarbeitung bei der Einrichtung von Android Smartphones

400.000 EUR

Centro Hospitalar Barreiro Montijo (Portugal)

Patentiendaten waren nicht ausreichend geschützt. Auch Techniker konnten Daten einsehen, auf die nur Ärzte hätten Zugriff haben dürfen. Zudem gab es mehr Arztaccounts als Ärzte im Krankenhaus beschäftigt waren.