20.12.2019 (Doc Storage)
3.9 von 5, (9 Bewertungen)

DSGVO: Gerne noch höhere Bußgelder

Kolumne Doc Storage:

Wie hieß ein beachtenswerter Streifen aus dem Jahr 92: »Die Stunde der Patrioten«. Und genau in dieser Stunde scheinen wir uns nun in einer beginnenden Endlosschleife (ich weiß, sowas gibts eigentlich nicht...) zu befinden. Überall springen nun Datenschutzbeauftragte aus den Hecken, da sie die mehr oder weniger sinnvolle Datenschutz-Grundverordnung als Gelddruckmaschine für ihre kränkelnden Haushalte entdeckt zu haben scheinen. Jaja, ich weiß, ihnen gehts ja nur um den Schutz der Daten des »Verbrauchers«. Moment, ich muss mich eben wieder hinsetzen, bin ich doch vor Lachen unter den Tisch gerutscht.

Da werden Millionenstrafen gegen größere Unternehmensanleihen ausgesprochen, fast 10 Millionen gegen 1&1, 14,5 gegen die Deutsche Wohnen, und auch mal »nur« Zehntausende gegen kleine Firmen, denen solche Beträge wesentlich mehr wehtun dürften als die Millionen den Großen. Jaja, Strafe muss sein, und Zeit genug hatten wir zur Implementierung der DSGVO alle, darüber will und werde ich nicht mehr diskutieren. Was ich allerdings bezweifele ist, dass der Fiskus mit irgendwelchen Geldstrafen, so hoch sie auch sein mögen, irgendwas besser macht oder auch nur beschleunigt.

Nach meinen Erfahrungen gibt es vier Typen von IT-Abteilungen oder -Unternehmen, wenn es um die Brüsseler Verordnung geht:

  1. 1. Die jedem Buchstaben des Gesetzes hündisch ergebenen. Sie wollen mit niemandem Ärger bekommen, jegliche negative Presse tunlichst vermeiden, und haben deshalb schon am ersten Tag nach Inkrafttreten des Werkes mit dessen Umsetzung begonnen, um ja im Mai 2018 komplett durch zu sein. Natürlich wird es auch bei diesen die eine oder andere Lücke geben, allerdings wird es hier in den meisten Fällen bei einem Hinweis zur Nachbesserung durch die kontrollierenden Behörden bleiben. Hier ist nichts zu holen.

  2. Die murrenden, die dann aber doch zum Stichtag alles (oder zumindest das meiste) fertig haben. Sie lassen bei jeder sich bietenden Gelegenheit ihrem Frust freien Lauf, schimpfen auf »die da in Brüssel«, und dass hier Juristen mal wieder Gesetze für die EDV erlassen haben und so weiter. Aber im Ende haben sie dann doch auf magische Weise im Mai 2018 alles fertig gehabt. Vielleicht, weil das meiste, was in der DSGVO drinstand, gar nicht so neu war, wie es viele meinen, sondern im Bundesdatenschutzgesetz BDSG schon seit 1978 geregelt war (man schaue sich nur Paragraph 6 an, da war das »Recht auf Vergessenwerden« schon manifestiert, lange bevor Brüssel darauf gekommen ist). Hier ist auch nichts zu holen.

  3. Diejenigen die meinen, schon nicht erwischt zu werden. Die sich für so klein halten, dass sie unterm Radar durchkommen oder so groß, dass es niemand wagen wird, ihnen vor das Schienbein zu treten. Und die werden sich früher oder später getäuscht sehen. Natürlich muss sich jedes Unternehmen, welches Daten von Kunden oder anderweitig von Privatpersonen speichert, verdammt noch einmal darum kümmern, sorgfältig und schützend mit diesen umzugehen. Das heißt nicht nur, die DSGVO zu implementieren (oder zumindest zu begründen, warum man es nicht kann, siehe Beitrag letzte Woche), sondern auch, die dafür Verantwortlichen bereitzustellen, wie Datenschutzbeauftragten, DSO und was nicht noch alles dazugehört. Jemand der das nicht tut, kann die Daten seiner Nutzer auch gleich ausdrucken und an der nächsten S-Bahn-Haltestelle zur Lektüre auslegen. Das ist strafbar, ob nun »nur« im Wortsinn oder auch juristisch, und gehört bestraft. Vor allem jetzt, fast zwei Jahre nach Ablauf der Implementierungspflicht. Dann tut mir auch keiner mehr leid, der wie beispielsweise 1&1 jetzt erst, nach Androhung von fast zehn Millionen Euro Strafe, darauf kommt, dass man am Telefon bestimmte Daten einfach nicht rausgibt. Punkt Ende Aus!

  4. Und die letzte Gruppe, diejenigen die meinen, dass sie das alles nichts angeht. Gut, sie speichern keine Daten von Kunden in Datenbanken. Schön, aber haben Sie schonmal Serienbriefe geschrieben, vielleicht zu Werbezwecken? Haben Sie schon einmal eine Stelle ausgeschrieben und die eingegangenen Bewerbungen, inklusive Lebensläufen und Lichtbildern irgendwo gespeichert? Und ein Backup davon gezogen? Und das ist dann irgendwann ins Archiv gelaufen? Man sieht, NIEMAND, der in seinem Unternehmen einen Rechner benutzt, und der muss noch nicht einmal vernetzt sein, ist immun gegen die DSGVO. Wie gesagt, das alles gilt ja nicht erst seit zwei Jahren, sondern schleichend bereits seit 41 (!!!). Und auch von diesen tut mir keiner leid, denn laut genug wurde es verkündet, und in (oder für) jeder Firma gibt es mindestens einen Juristen, der begreifen sollte, was da auf einen zukommt.

Egal zu welchem Typ die Beschuldigten nun gehören. Ob wie bei 1&1 man wirklich geglaubt hat, mit der Herausgabe von Informationen am Telefon durchzukommen (und nun mit »Service-PINs« eine mehr als fragwürdige Notlösung schafft), ob man es wie bei der Deutschen Wohnen über Jahre nicht für notwendig erachtet hat wenigstens zu erklären, warum man etwas schlicht nicht tun kann und vor allem, was man tut, um die Daten zu schützen. Oder aber wie bei vielen anderen, meist »kleinen« Firmen, die bis heute keinen Datenschutzbeauftragten ernannt haben. Das gehört geahndet.

Aber nicht, wie im Falle von 1&1, mit einem Betrag von noch nicht einmal 0,2 Prozent des Jahresumsatzes. Leute, wie sehr die sich kaputtlachen, kann man doch an den jetzt ergriffenen »Maßnahmen« sehen. Daten werden weiterhin am Telefon rausgegeben, wenn auch jetzt mit einem Service-PIN, und nicht wie es sich gehört wenigstens per Post zugesendet. 0,2 Prozent, das dürfte die berühmte Portokasse gerade noch hergeben. Auch bei der Deutschen Wohnen wurde die Faulheit mit einer Strafe von gerade einmal 0,5 Prozent des EBIT, man muss fast schon sagen belohnt. Auch hierfür wird der Konzern seine Briefmarkensammlung gar nicht zur Gänze veräußern müssen. Und das für die Unverschämtheit, den Hinweis auf nicht bestehende Prozesse oder wenigstens nichtexistierende Dokumentationen schlichtweg zu ignorieren.

Beide Fälle zeigen, dass die Bundes-, Landes- oder was auch immer Datenschützer nichts, aber auch gar nichts durchsetzen werden. Auch wenn ich jetzt wieder Hater-Mails provoziere: Jedes Unternehmen, das derart leichtsinnig mit den Daten der Kunden umgeht oder dessen DV- und Rechtsabteilungen quasi zu faul sind in die Umsetzung zu gehen, gehören an den Rand der Existenz geführt, damit sie von dort einen Blick in den tiefschwarzen Abyss der Abwicklung werfen können. Gewisse Automobilhersteller haben in den letzten Jahren Milliarden an viele Länder gezahlt, weil ihren Ingenieuren die Umwelt am Allerwertesten vorbeiging. Wieso geht das nicht bei anderen Firmen, denen die Sicherheit der Daten ihrer Nutzer und Kunden offensichtlich egal ist.

Ich weiß, ich habe mich in den letzten Jahren mehrfach nicht sehr positiv zur DSGVO geäußert. Dies allerdings eher aus operativer denn aus logischer Sicht. Und nochmal: Das meiste, was in dem Ding aus Brüssel drinstand, gab es in Deutschland schon seit über 40 Jahren. Es hat nur niemand ernst genommen. Vielleicht sollte man nun einmal anfangen, mehr als nur lächerliche Strafen zu verhängen, gegen die die Betroffenen dann auch noch wagen anzugehen, anstatt einfach kleinlaut Besserung zu geloben. Ach ja: Neben den Strafen hat auch der Kunde die Möglichkeit, den Firmen, die sich so verhalten, sein Vertrauen, vulgo sein Geld zu entziehen. Das trifft die Herrschaften langfristig mehr als diese Prozent-Fragmente.

Gruß
Doc Storage

Stellen Sie Ihre Frage
Doc. tec. Storage beantwortet alle Ihre technischen Fragen zu Storage, Backup & Co.

Stellen Sie Ihre Frage an: DocStorage@speicherguide.de
Kommentare (2)
23.12.2019 - Gast

Das mag sein, und ob die Gelder nun zweckgebunden sind oder nicht, ist eigentlich völlig gleichgültig. Das Drama ist, daß die Aufsichtsbehörden mit zweistelligen Millionenstrafen zwar für Schlagzeilen sorgen, den Betroffenen Unternehmen überhaupt nicht wehtun. Das wird schon daran deutlich, mit welch unverschämter Leichtigkeit 1&1 ein „PIN-Verfahren“ bei der Abfrage persönlicher Daten über Telefon einführt, welches man sich auch gleich hätte sparen können. Da wird der CSO gesagt haben „macht mal irgendwas, was wir der Presse sagen können, die kommen sowieso nicht wieder“, und einer der Firmenanwälte hat schweigend genickt. Befriedigend wäre das in minimaler Form erst, wenn die Gelder der bestraften Unternehmen in den Ausbau der verfolgenden Behörden gesteckt, und diese damit nachhaltig immer besser aufgestellt würden. So fließen die Beträge in irgendeinen Säckel, der sie dann für den Abtrag irgendwelcher Schulden mißbraucht.
Es ist durchaus wünschenswert und nicht „zum Glück bei uns anders“, die Behörden für ihren eigenen Ausbau arbeiten zu lassen. Ich meine das nicht im Sinne eines Perpetuum Mobile, das sich im Ende selbst antreibt. Ich meine so, daß die Verantwortlichen in den Firmen irgendwann soviel Respekt vor der DSGVO und noch besser vor den Daten ihrer Kunden und Nutzer bekommen, daß diese Kontrollen gar nicht mehr nötig sind. Aber das ist wohl ein allzu schöner vorweihnachtlicher Wunsch.
P.S.: Man müßte nur mal ausrechnen, ob es für die Betroffenen Unternehmen nicht wesentlich billiger gewesen wäre, die entsprechenden Prozesse und Verfahren nach Verordnungstext einzuführen, als jetzt dafür zahlen zu müssen, es nicht getan zu haben.
P.P.S.: Ich würde gern einmal Mäuschen spielen und herausbekommen, wer in den Betroffenen Firmen letztendlich für die Nichterfüllung der DSGVO verantwortlich gemacht wird. Und was dann die Konsequenzen sind.
Pfuscher allesamt, ich will nichts mehr hören, Ihr hattet genau genommen über 40 Jahre Zeit!!!

20.12.2019 - kfr

Zur Info: DSGVO-Bußgelder fließen einfach in die Landeskasse des jeweiligen Bundeslandes und kommen allgemein dem Landeshaushalt zugute. Die sind i.d.R. also nicht zweckgebunden.

Die Datenschutzaufsichtsbehörden sind keine Profitcenter. In anderen Ländern ist das durchaus anders. Da können die Behörden mit den einnahmen z.B. neue Leute einstellen, um dann noch mehr zu kassieren...

Bei uns das zum Glück anders.


Mehr von Doc. tec. Storage 03.04.2020 Corona & IT Teil 2: Bedeutet das Virus das Ende der Edel-EDV?

Sed tempora mutantur, et nos mutamur in illis – Die Zeiten ändern sich und wir uns mit ihnen. Die Corona-Pandemie und die damit verbundenen Einschränkungen fördern auch in der IT neue Arbeitsweisen, Sichtweisen und Möglichkeiten hervor. Zu den Erkenntnissen gehört für unseren Doc Storage, es geht auch einfacher. Daher prophezeit er ein Umdenken in den IT-Abteilungen und damit das Ende der Edel-EDV.


27.03.2020 Corona: Deutliche Quittung für Ignoranz und IT-Missmanagement

Die Coronakrise zwingt Unternehmen zum Umdenken: Es zeigt sich, dass viele nicht nur nicht auf mobiles Arbeiten vorbereitet waren, sondern auch Warnungen von Seiten der IT schlicht ignoriert haben. Doc Storage geht mit den Firmenlenkern hart ins Gericht, denn die Möglichkeit von außen den Betrieb zu lenken und zu steuern wurde sträflich vernachlässigt.


14.02.2020 NVMe-oF: Ethernet-Attached SSDs wirklich der nächste Schritt?

Wenn es um Flash geht, spricht momentan jeder von NVMe und NVMe-oF. In diesem Zusammenhang stellt die SNIA die Frage, »sind Ethernet-Attached SSD tatsächlich eine gute Idee oder braucht man das eher nicht?« Welche Meinung hat hierzu wohl der Doc Storage?


24.01.2020 Datensicherheit per KI: Kümmern Sie sich lieber selbst

Hersteller kommen mit der These, IT-Abteilungen sollten sich von der traditionellen IT-Sicherheit trennen und auf neue, erfolgsversprechende Techniken wie KI setzen. Sie ahnen es, Doc Storage sieht dies vollkommen anders. Wichtig ist vielmehr ein vernünftiger Plan und die Schulung der Mitarbeiter.


10.01.2020 Ransomware: Sind Backups ein ausreichender Schutz?

Thema Ransomware-Schutz: Wie sieht hier eigentlich der Stand der Technik aus und die dazugehörende Strategie und Maßnahmenorganisation? Ein herkömmliches Backup scheint ja nicht mehr ausreichend zu sein.


03.01.2020 Speichermarkt 2020 – Ein Ausblick

Unser Doc Storage blickt in die »Glaskugel« und analysiert, welche Ansätze und Anforderungen den Speichermarkt 2020 bestimmen könnten: Technologisch sieht er die Notwendigkeit nach mehr Performance, Prozesse zu beschleunigen sowie mehr Effizienz und Beschleunigung. Aber auch der Umgang mit den gespeicherten Daten ist ein wichtiger Aspekt.

powered by
Lenovo Itiso GmbH
Fujitsu Technology Solutions GmbH Infortrend
N-TEC GmbH FAST LTA
Folgen Sie speicherguide.de auch auf unseren Social-Media-Kanälen
Folgen Sie und auf Facebook Folgen Sie und auf YouTube Folgen Sie und auf Twitter