20.12.2019 (Doc Storage)
3.9 von 5, (9 Bewertungen)

DSGVO: Gerne noch höhere Bußgelder

Kolumne Doc Storage:

Wie hieß ein beachtenswerter Streifen aus dem Jahr 92: »Die Stunde der Patrioten«. Und genau in dieser Stunde scheinen wir uns nun in einer beginnenden Endlosschleife (ich weiß, sowas gibts eigentlich nicht...) zu befinden. Überall springen nun Datenschutzbeauftragte aus den Hecken, da sie die mehr oder weniger sinnvolle Datenschutz-Grundverordnung als Gelddruckmaschine für ihre kränkelnden Haushalte entdeckt zu haben scheinen. Jaja, ich weiß, ihnen gehts ja nur um den Schutz der Daten des »Verbrauchers«. Moment, ich muss mich eben wieder hinsetzen, bin ich doch vor Lachen unter den Tisch gerutscht.

Da werden Millionenstrafen gegen größere Unternehmensanleihen ausgesprochen, fast 10 Millionen gegen 1&1, 14,5 gegen die Deutsche Wohnen, und auch mal »nur« Zehntausende gegen kleine Firmen, denen solche Beträge wesentlich mehr wehtun dürften als die Millionen den Großen. Jaja, Strafe muss sein, und Zeit genug hatten wir zur Implementierung der DSGVO alle, darüber will und werde ich nicht mehr diskutieren. Was ich allerdings bezweifele ist, dass der Fiskus mit irgendwelchen Geldstrafen, so hoch sie auch sein mögen, irgendwas besser macht oder auch nur beschleunigt.

Nach meinen Erfahrungen gibt es vier Typen von IT-Abteilungen oder -Unternehmen, wenn es um die Brüsseler Verordnung geht:

  1. 1. Die jedem Buchstaben des Gesetzes hündisch ergebenen. Sie wollen mit niemandem Ärger bekommen, jegliche negative Presse tunlichst vermeiden, und haben deshalb schon am ersten Tag nach Inkrafttreten des Werkes mit dessen Umsetzung begonnen, um ja im Mai 2018 komplett durch zu sein. Natürlich wird es auch bei diesen die eine oder andere Lücke geben, allerdings wird es hier in den meisten Fällen bei einem Hinweis zur Nachbesserung durch die kontrollierenden Behörden bleiben. Hier ist nichts zu holen.

  2. Die murrenden, die dann aber doch zum Stichtag alles (oder zumindest das meiste) fertig haben. Sie lassen bei jeder sich bietenden Gelegenheit ihrem Frust freien Lauf, schimpfen auf »die da in Brüssel«, und dass hier Juristen mal wieder Gesetze für die EDV erlassen haben und so weiter. Aber im Ende haben sie dann doch auf magische Weise im Mai 2018 alles fertig gehabt. Vielleicht, weil das meiste, was in der DSGVO drinstand, gar nicht so neu war, wie es viele meinen, sondern im Bundesdatenschutzgesetz BDSG schon seit 1978 geregelt war (man schaue sich nur Paragraph 6 an, da war das »Recht auf Vergessenwerden« schon manifestiert, lange bevor Brüssel darauf gekommen ist). Hier ist auch nichts zu holen.

  3. Diejenigen die meinen, schon nicht erwischt zu werden. Die sich für so klein halten, dass sie unterm Radar durchkommen oder so groß, dass es niemand wagen wird, ihnen vor das Schienbein zu treten. Und die werden sich früher oder später getäuscht sehen. Natürlich muss sich jedes Unternehmen, welches Daten von Kunden oder anderweitig von Privatpersonen speichert, verdammt noch einmal darum kümmern, sorgfältig und schützend mit diesen umzugehen. Das heißt nicht nur, die DSGVO zu implementieren (oder zumindest zu begründen, warum man es nicht kann, siehe Beitrag letzte Woche), sondern auch, die dafür Verantwortlichen bereitzustellen, wie Datenschutzbeauftragten, DSO und was nicht noch alles dazugehört. Jemand der das nicht tut, kann die Daten seiner Nutzer auch gleich ausdrucken und an der nächsten S-Bahn-Haltestelle zur Lektüre auslegen. Das ist strafbar, ob nun »nur« im Wortsinn oder auch juristisch, und gehört bestraft. Vor allem jetzt, fast zwei Jahre nach Ablauf der Implementierungspflicht. Dann tut mir auch keiner mehr leid, der wie beispielsweise 1&1 jetzt erst, nach Androhung von fast zehn Millionen Euro Strafe, darauf kommt, dass man am Telefon bestimmte Daten einfach nicht rausgibt. Punkt Ende Aus!

  4. Und die letzte Gruppe, diejenigen die meinen, dass sie das alles nichts angeht. Gut, sie speichern keine Daten von Kunden in Datenbanken. Schön, aber haben Sie schonmal Serienbriefe geschrieben, vielleicht zu Werbezwecken? Haben Sie schon einmal eine Stelle ausgeschrieben und die eingegangenen Bewerbungen, inklusive Lebensläufen und Lichtbildern irgendwo gespeichert? Und ein Backup davon gezogen? Und das ist dann irgendwann ins Archiv gelaufen? Man sieht, NIEMAND, der in seinem Unternehmen einen Rechner benutzt, und der muss noch nicht einmal vernetzt sein, ist immun gegen die DSGVO. Wie gesagt, das alles gilt ja nicht erst seit zwei Jahren, sondern schleichend bereits seit 41 (!!!). Und auch von diesen tut mir keiner leid, denn laut genug wurde es verkündet, und in (oder für) jeder Firma gibt es mindestens einen Juristen, der begreifen sollte, was da auf einen zukommt.

Egal zu welchem Typ die Beschuldigten nun gehören. Ob wie bei 1&1 man wirklich geglaubt hat, mit der Herausgabe von Informationen am Telefon durchzukommen (und nun mit »Service-PINs« eine mehr als fragwürdige Notlösung schafft), ob man es wie bei der Deutschen Wohnen über Jahre nicht für notwendig erachtet hat wenigstens zu erklären, warum man etwas schlicht nicht tun kann und vor allem, was man tut, um die Daten zu schützen. Oder aber wie bei vielen anderen, meist »kleinen« Firmen, die bis heute keinen Datenschutzbeauftragten ernannt haben. Das gehört geahndet.

Aber nicht, wie im Falle von 1&1, mit einem Betrag von noch nicht einmal 0,2 Prozent des Jahresumsatzes. Leute, wie sehr die sich kaputtlachen, kann man doch an den jetzt ergriffenen »Maßnahmen« sehen. Daten werden weiterhin am Telefon rausgegeben, wenn auch jetzt mit einem Service-PIN, und nicht wie es sich gehört wenigstens per Post zugesendet. 0,2 Prozent, das dürfte die berühmte Portokasse gerade noch hergeben. Auch bei der Deutschen Wohnen wurde die Faulheit mit einer Strafe von gerade einmal 0,5 Prozent des EBIT, man muss fast schon sagen belohnt. Auch hierfür wird der Konzern seine Briefmarkensammlung gar nicht zur Gänze veräußern müssen. Und das für die Unverschämtheit, den Hinweis auf nicht bestehende Prozesse oder wenigstens nichtexistierende Dokumentationen schlichtweg zu ignorieren.

Beide Fälle zeigen, dass die Bundes-, Landes- oder was auch immer Datenschützer nichts, aber auch gar nichts durchsetzen werden. Auch wenn ich jetzt wieder Hater-Mails provoziere: Jedes Unternehmen, das derart leichtsinnig mit den Daten der Kunden umgeht oder dessen DV- und Rechtsabteilungen quasi zu faul sind in die Umsetzung zu gehen, gehören an den Rand der Existenz geführt, damit sie von dort einen Blick in den tiefschwarzen Abyss der Abwicklung werfen können. Gewisse Automobilhersteller haben in den letzten Jahren Milliarden an viele Länder gezahlt, weil ihren Ingenieuren die Umwelt am Allerwertesten vorbeiging. Wieso geht das nicht bei anderen Firmen, denen die Sicherheit der Daten ihrer Nutzer und Kunden offensichtlich egal ist.

Ich weiß, ich habe mich in den letzten Jahren mehrfach nicht sehr positiv zur DSGVO geäußert. Dies allerdings eher aus operativer denn aus logischer Sicht. Und nochmal: Das meiste, was in dem Ding aus Brüssel drinstand, gab es in Deutschland schon seit über 40 Jahren. Es hat nur niemand ernst genommen. Vielleicht sollte man nun einmal anfangen, mehr als nur lächerliche Strafen zu verhängen, gegen die die Betroffenen dann auch noch wagen anzugehen, anstatt einfach kleinlaut Besserung zu geloben. Ach ja: Neben den Strafen hat auch der Kunde die Möglichkeit, den Firmen, die sich so verhalten, sein Vertrauen, vulgo sein Geld zu entziehen. Das trifft die Herrschaften langfristig mehr als diese Prozent-Fragmente.

Gruß
Doc Storage

Stellen Sie Ihre Frage
Doc. tec. Storage beantwortet alle Ihre technischen Fragen zu Storage, Backup & Co.

Stellen Sie Ihre Frage an: DocStorage@speicherguide.de
Kommentare (2)
23.12.2019 - Gast

Das mag sein, und ob die Gelder nun zweckgebunden sind oder nicht, ist eigentlich völlig gleichgültig. Das Drama ist, daß die Aufsichtsbehörden mit zweistelligen Millionenstrafen zwar für Schlagzeilen sorgen, den Betroffenen Unternehmen überhaupt nicht wehtun. Das wird schon daran deutlich, mit welch unverschämter Leichtigkeit 1&1 ein „PIN-Verfahren“ bei der Abfrage persönlicher Daten über Telefon einführt, welches man sich auch gleich hätte sparen können. Da wird der CSO gesagt haben „macht mal irgendwas, was wir der Presse sagen können, die kommen sowieso nicht wieder“, und einer der Firmenanwälte hat schweigend genickt. Befriedigend wäre das in minimaler Form erst, wenn die Gelder der bestraften Unternehmen in den Ausbau der verfolgenden Behörden gesteckt, und diese damit nachhaltig immer besser aufgestellt würden. So fließen die Beträge in irgendeinen Säckel, der sie dann für den Abtrag irgendwelcher Schulden mißbraucht.
Es ist durchaus wünschenswert und nicht „zum Glück bei uns anders“, die Behörden für ihren eigenen Ausbau arbeiten zu lassen. Ich meine das nicht im Sinne eines Perpetuum Mobile, das sich im Ende selbst antreibt. Ich meine so, daß die Verantwortlichen in den Firmen irgendwann soviel Respekt vor der DSGVO und noch besser vor den Daten ihrer Kunden und Nutzer bekommen, daß diese Kontrollen gar nicht mehr nötig sind. Aber das ist wohl ein allzu schöner vorweihnachtlicher Wunsch.
P.S.: Man müßte nur mal ausrechnen, ob es für die Betroffenen Unternehmen nicht wesentlich billiger gewesen wäre, die entsprechenden Prozesse und Verfahren nach Verordnungstext einzuführen, als jetzt dafür zahlen zu müssen, es nicht getan zu haben.
P.P.S.: Ich würde gern einmal Mäuschen spielen und herausbekommen, wer in den Betroffenen Firmen letztendlich für die Nichterfüllung der DSGVO verantwortlich gemacht wird. Und was dann die Konsequenzen sind.
Pfuscher allesamt, ich will nichts mehr hören, Ihr hattet genau genommen über 40 Jahre Zeit!!!

20.12.2019 - kfr

Zur Info: DSGVO-Bußgelder fließen einfach in die Landeskasse des jeweiligen Bundeslandes und kommen allgemein dem Landeshaushalt zugute. Die sind i.d.R. also nicht zweckgebunden.

Die Datenschutzaufsichtsbehörden sind keine Profitcenter. In anderen Ländern ist das durchaus anders. Da können die Behörden mit den einnahmen z.B. neue Leute einstellen, um dann noch mehr zu kassieren...

Bei uns das zum Glück anders.


Mehr von Doc. tec. Storage 16.10.2020 Welchen Stellenwert haben DMTF Redfish und SNIA Swordfish?

Die neuen Versionen von DMTF Redfish und SNIA Swordfish enthalten nun NVMe- und NVMe-oF-Spezifikations-Verbesserungen. Da stellt sich die Frage nach dem Stellenwert der beiden Spezifikationen. Doc Storage sieht hier aber großes Potenzial.


09.10.2020 Was ist ein Ingress- und Egress-Datenverkehr?

Der Datenverkehr unterliegt in Netzwerken und der Cloud einem definierten Regelwerk. Dabei fallen mitunter auch die Begriffe Ingress und Egress. Doc Storage erklärt die Bedeutung.


28.08.2020 Kommt mit QLC-Flash das Ende hybrider Speichersysteme?

Die ersten Arrays mit QLC-Flash-Technologie kommen auf den Markt. Einige Hersteller prophezeien durchaus vollmundig das Ende von hybriden Speichersystemen, also solchen mit Flash und Festplatten. Ist dieses Ende tatsächlich absehbar oder wie sieht die Zukunft in diesem Bereich aus?


21.08.2020 Mehr in die Zukunft agieren, weniger jammern

Jammern ist gerade irgendwie in Mode. Der Virus, der Markt, die Geschäfte – natürlich ist es aktuell schwierig. Für die Kunden gestaltet sich vieles aber positiv, braucht es doch weniger Manpower, um Produkte und Lösungen in Betrieb zu nehmen. Das macht sich im Geldbeutel bemerkbar. IT-Anbieter müssen künftig nicht nur in Studien in die Zukunft schauen, sondern sich generell schneller anpassen und auf neue Gegebenheiten reagieren.


07.08.2020 Marktstudien: Ergebnisse meist zu offensichtlich

Marktstudien belegen in der Regel bekannte Trends, mehr nicht. Wirkliche Erkenntnisse oder Neues fördern sie, laut Doc Storage, nicht zu Tage. Dies belegt er anhand zweier aktueller Beispiele: Die Analysekriterien sind schwammig, die Argumente eher fadenscheinig und die Resultate offensichtlich. Zudem sei fragwürdig, in wie weit Sponsoren die Ergebnisse beeinflussen.


31.07.2020 Business-Continuity: Zu viele Firmen unvorbereitet auf K-Fall

Jüngste Studien sprechen von einem steigenden Bewusstsein in Sachen Business-Continuity. Doc Storage kann den Zahlen allerdings wenig positives abgewinnen, denn noch nicht mal zwei Drittel aller Unternehmen besitzen einen Business-Continuity-Plan und fast die Hälfte verfügt über keine fest definierte Rückkehrmaßnahmen. Aus seiner Sicht ist es erschreckend, wie viele Firmen und IT-Abteilungen nicht auf einen Katastrophenfall vorbereitet sind.

powered by
N-TEC GmbH FAST LTA
Cloudian Tech Data IBM Storage Hub
Folgen Sie speicherguide.de auch auf unseren Social-Media-Kanälen
Folgen Sie und auf Facebook Folgen Sie und auf YouTube Folgen Sie und auf Twitter