20.12.2019 (Doc Storage)
3.9 von 5, (9 Bewertungen)

DSGVO: Gerne noch höhere Bußgelder

Kolumne Doc Storage:

Wie hieß ein beachtenswerter Streifen aus dem Jahr 92: »Die Stunde der Patrioten«. Und genau in dieser Stunde scheinen wir uns nun in einer beginnenden Endlosschleife (ich weiß, sowas gibts eigentlich nicht...) zu befinden. Überall springen nun Datenschutzbeauftragte aus den Hecken, da sie die mehr oder weniger sinnvolle Datenschutz-Grundverordnung als Gelddruckmaschine für ihre kränkelnden Haushalte entdeckt zu haben scheinen. Jaja, ich weiß, ihnen gehts ja nur um den Schutz der Daten des »Verbrauchers«. Moment, ich muss mich eben wieder hinsetzen, bin ich doch vor Lachen unter den Tisch gerutscht.

Da werden Millionenstrafen gegen größere Unternehmensanleihen ausgesprochen, fast 10 Millionen gegen 1&1, 14,5 gegen die Deutsche Wohnen, und auch mal »nur« Zehntausende gegen kleine Firmen, denen solche Beträge wesentlich mehr wehtun dürften als die Millionen den Großen. Jaja, Strafe muss sein, und Zeit genug hatten wir zur Implementierung der DSGVO alle, darüber will und werde ich nicht mehr diskutieren. Was ich allerdings bezweifele ist, dass der Fiskus mit irgendwelchen Geldstrafen, so hoch sie auch sein mögen, irgendwas besser macht oder auch nur beschleunigt.

Nach meinen Erfahrungen gibt es vier Typen von IT-Abteilungen oder -Unternehmen, wenn es um die Brüsseler Verordnung geht:

  1. 1. Die jedem Buchstaben des Gesetzes hündisch ergebenen. Sie wollen mit niemandem Ärger bekommen, jegliche negative Presse tunlichst vermeiden, und haben deshalb schon am ersten Tag nach Inkrafttreten des Werkes mit dessen Umsetzung begonnen, um ja im Mai 2018 komplett durch zu sein. Natürlich wird es auch bei diesen die eine oder andere Lücke geben, allerdings wird es hier in den meisten Fällen bei einem Hinweis zur Nachbesserung durch die kontrollierenden Behörden bleiben. Hier ist nichts zu holen.

  2. Die murrenden, die dann aber doch zum Stichtag alles (oder zumindest das meiste) fertig haben. Sie lassen bei jeder sich bietenden Gelegenheit ihrem Frust freien Lauf, schimpfen auf »die da in Brüssel«, und dass hier Juristen mal wieder Gesetze für die EDV erlassen haben und so weiter. Aber im Ende haben sie dann doch auf magische Weise im Mai 2018 alles fertig gehabt. Vielleicht, weil das meiste, was in der DSGVO drinstand, gar nicht so neu war, wie es viele meinen, sondern im Bundesdatenschutzgesetz BDSG schon seit 1978 geregelt war (man schaue sich nur Paragraph 6 an, da war das »Recht auf Vergessenwerden« schon manifestiert, lange bevor Brüssel darauf gekommen ist). Hier ist auch nichts zu holen.

  3. Diejenigen die meinen, schon nicht erwischt zu werden. Die sich für so klein halten, dass sie unterm Radar durchkommen oder so groß, dass es niemand wagen wird, ihnen vor das Schienbein zu treten. Und die werden sich früher oder später getäuscht sehen. Natürlich muss sich jedes Unternehmen, welches Daten von Kunden oder anderweitig von Privatpersonen speichert, verdammt noch einmal darum kümmern, sorgfältig und schützend mit diesen umzugehen. Das heißt nicht nur, die DSGVO zu implementieren (oder zumindest zu begründen, warum man es nicht kann, siehe Beitrag letzte Woche), sondern auch, die dafür Verantwortlichen bereitzustellen, wie Datenschutzbeauftragten, DSO und was nicht noch alles dazugehört. Jemand der das nicht tut, kann die Daten seiner Nutzer auch gleich ausdrucken und an der nächsten S-Bahn-Haltestelle zur Lektüre auslegen. Das ist strafbar, ob nun »nur« im Wortsinn oder auch juristisch, und gehört bestraft. Vor allem jetzt, fast zwei Jahre nach Ablauf der Implementierungspflicht. Dann tut mir auch keiner mehr leid, der wie beispielsweise 1&1 jetzt erst, nach Androhung von fast zehn Millionen Euro Strafe, darauf kommt, dass man am Telefon bestimmte Daten einfach nicht rausgibt. Punkt Ende Aus!

  4. Und die letzte Gruppe, diejenigen die meinen, dass sie das alles nichts angeht. Gut, sie speichern keine Daten von Kunden in Datenbanken. Schön, aber haben Sie schonmal Serienbriefe geschrieben, vielleicht zu Werbezwecken? Haben Sie schon einmal eine Stelle ausgeschrieben und die eingegangenen Bewerbungen, inklusive Lebensläufen und Lichtbildern irgendwo gespeichert? Und ein Backup davon gezogen? Und das ist dann irgendwann ins Archiv gelaufen? Man sieht, NIEMAND, der in seinem Unternehmen einen Rechner benutzt, und der muss noch nicht einmal vernetzt sein, ist immun gegen die DSGVO. Wie gesagt, das alles gilt ja nicht erst seit zwei Jahren, sondern schleichend bereits seit 41 (!!!). Und auch von diesen tut mir keiner leid, denn laut genug wurde es verkündet, und in (oder für) jeder Firma gibt es mindestens einen Juristen, der begreifen sollte, was da auf einen zukommt.

Egal zu welchem Typ die Beschuldigten nun gehören. Ob wie bei 1&1 man wirklich geglaubt hat, mit der Herausgabe von Informationen am Telefon durchzukommen (und nun mit »Service-PINs« eine mehr als fragwürdige Notlösung schafft), ob man es wie bei der Deutschen Wohnen über Jahre nicht für notwendig erachtet hat wenigstens zu erklären, warum man etwas schlicht nicht tun kann und vor allem, was man tut, um die Daten zu schützen. Oder aber wie bei vielen anderen, meist »kleinen« Firmen, die bis heute keinen Datenschutzbeauftragten ernannt haben. Das gehört geahndet.

Aber nicht, wie im Falle von 1&1, mit einem Betrag von noch nicht einmal 0,2 Prozent des Jahresumsatzes. Leute, wie sehr die sich kaputtlachen, kann man doch an den jetzt ergriffenen »Maßnahmen« sehen. Daten werden weiterhin am Telefon rausgegeben, wenn auch jetzt mit einem Service-PIN, und nicht wie es sich gehört wenigstens per Post zugesendet. 0,2 Prozent, das dürfte die berühmte Portokasse gerade noch hergeben. Auch bei der Deutschen Wohnen wurde die Faulheit mit einer Strafe von gerade einmal 0,5 Prozent des EBIT, man muss fast schon sagen belohnt. Auch hierfür wird der Konzern seine Briefmarkensammlung gar nicht zur Gänze veräußern müssen. Und das für die Unverschämtheit, den Hinweis auf nicht bestehende Prozesse oder wenigstens nichtexistierende Dokumentationen schlichtweg zu ignorieren.

Beide Fälle zeigen, dass die Bundes-, Landes- oder was auch immer Datenschützer nichts, aber auch gar nichts durchsetzen werden. Auch wenn ich jetzt wieder Hater-Mails provoziere: Jedes Unternehmen, das derart leichtsinnig mit den Daten der Kunden umgeht oder dessen DV- und Rechtsabteilungen quasi zu faul sind in die Umsetzung zu gehen, gehören an den Rand der Existenz geführt, damit sie von dort einen Blick in den tiefschwarzen Abyss der Abwicklung werfen können. Gewisse Automobilhersteller haben in den letzten Jahren Milliarden an viele Länder gezahlt, weil ihren Ingenieuren die Umwelt am Allerwertesten vorbeiging. Wieso geht das nicht bei anderen Firmen, denen die Sicherheit der Daten ihrer Nutzer und Kunden offensichtlich egal ist.

Ich weiß, ich habe mich in den letzten Jahren mehrfach nicht sehr positiv zur DSGVO geäußert. Dies allerdings eher aus operativer denn aus logischer Sicht. Und nochmal: Das meiste, was in dem Ding aus Brüssel drinstand, gab es in Deutschland schon seit über 40 Jahren. Es hat nur niemand ernst genommen. Vielleicht sollte man nun einmal anfangen, mehr als nur lächerliche Strafen zu verhängen, gegen die die Betroffenen dann auch noch wagen anzugehen, anstatt einfach kleinlaut Besserung zu geloben. Ach ja: Neben den Strafen hat auch der Kunde die Möglichkeit, den Firmen, die sich so verhalten, sein Vertrauen, vulgo sein Geld zu entziehen. Das trifft die Herrschaften langfristig mehr als diese Prozent-Fragmente.

Gruß
Doc Storage

Stellen Sie Ihre Frage
Doc. tec. Storage beantwortet alle Ihre technischen Fragen zu Storage, Backup & Co.

Stellen Sie Ihre Frage an: DocStorage@speicherguide.de
Kommentare (2)
23.12.2019 - Gast

Das mag sein, und ob die Gelder nun zweckgebunden sind oder nicht, ist eigentlich völlig gleichgültig. Das Drama ist, daß die Aufsichtsbehörden mit zweistelligen Millionenstrafen zwar für Schlagzeilen sorgen, den Betroffenen Unternehmen überhaupt nicht wehtun. Das wird schon daran deutlich, mit welch unverschämter Leichtigkeit 1&1 ein „PIN-Verfahren“ bei der Abfrage persönlicher Daten über Telefon einführt, welches man sich auch gleich hätte sparen können. Da wird der CSO gesagt haben „macht mal irgendwas, was wir der Presse sagen können, die kommen sowieso nicht wieder“, und einer der Firmenanwälte hat schweigend genickt. Befriedigend wäre das in minimaler Form erst, wenn die Gelder der bestraften Unternehmen in den Ausbau der verfolgenden Behörden gesteckt, und diese damit nachhaltig immer besser aufgestellt würden. So fließen die Beträge in irgendeinen Säckel, der sie dann für den Abtrag irgendwelcher Schulden mißbraucht.
Es ist durchaus wünschenswert und nicht „zum Glück bei uns anders“, die Behörden für ihren eigenen Ausbau arbeiten zu lassen. Ich meine das nicht im Sinne eines Perpetuum Mobile, das sich im Ende selbst antreibt. Ich meine so, daß die Verantwortlichen in den Firmen irgendwann soviel Respekt vor der DSGVO und noch besser vor den Daten ihrer Kunden und Nutzer bekommen, daß diese Kontrollen gar nicht mehr nötig sind. Aber das ist wohl ein allzu schöner vorweihnachtlicher Wunsch.
P.S.: Man müßte nur mal ausrechnen, ob es für die Betroffenen Unternehmen nicht wesentlich billiger gewesen wäre, die entsprechenden Prozesse und Verfahren nach Verordnungstext einzuführen, als jetzt dafür zahlen zu müssen, es nicht getan zu haben.
P.P.S.: Ich würde gern einmal Mäuschen spielen und herausbekommen, wer in den Betroffenen Firmen letztendlich für die Nichterfüllung der DSGVO verantwortlich gemacht wird. Und was dann die Konsequenzen sind.
Pfuscher allesamt, ich will nichts mehr hören, Ihr hattet genau genommen über 40 Jahre Zeit!!!

20.12.2019 - kfr

Zur Info: DSGVO-Bußgelder fließen einfach in die Landeskasse des jeweiligen Bundeslandes und kommen allgemein dem Landeshaushalt zugute. Die sind i.d.R. also nicht zweckgebunden.

Die Datenschutzaufsichtsbehörden sind keine Profitcenter. In anderen Ländern ist das durchaus anders. Da können die Behörden mit den einnahmen z.B. neue Leute einstellen, um dann noch mehr zu kassieren...

Bei uns das zum Glück anders.


Mehr von Doc. tec. Storage 10.07.2020 Genderkorrekte IT-Sprache – muss das sein?

Haben Sie sich schon mal Gedanken gemacht, ob unsere IT-Begriffe politisch- bzw. genderkorrekt sind? Gleichstellungsbeauftragte fordern eine neue IT-Sprache, Dummys, Black- und Whitelist oder Master/Slave seien nicht mehr zeitgemäß. Unser Doc ist da eher »Old School«…


03.07.2020 Problem: SSDs mit Trim-Funktion in Disk-Arrays

In einem Synology-RAID macht der Trim-Befehl der eingesetzten SSDs das System nach einer Zeit, unbenutzbar langsam. Abhilfe schafft eine Neuinstallation. Woran liegt das und könnte dies auch mit Enterprise-SSDs in größeren Arrays auftreten?


26.06.2020 Cloud-defined Storage – Hat das eine Zukunft?

Der US-Newcomer Nebulon geht mit Cloud-defined Storage (CDS)an den Start. Dabei soll es sich um einen Server basierten On-Premises-Speicher der Enterprise-Klasse handeln, der über die Cloud verwaltet wird. Hat dieser Ansatz eine Zukunft? Was spricht dafür, was dagegen?


05.06.2020 Daten-Crash beim Kopieren zwischen zwei NAS-Systemen

Ein Leser wollte Daten von einem in die Jahre gekommen NAS-System auf ein Neues überspielen. Der Windows-Explorer entpuppte sich allerdings als kein zuverlässiges Kopierwerkzeug für große Datenmengen. Es kam zum Daten-Crash, inklusive einem beschädigtem Dateisystem. Doc Storage sieht bestenfalls eine minimale Chance, die Daten wiederherzustellen.


29.05.2020 Ein RAID ersetzt kein Backup

Im NAS-System einer unserer Leser ist eine HDD ausgefallen. Während des Rebuilds auf eine neue Festplatte kommt es zum Supergau und es fällt auch die zweite der beiden ursprünglichen RAID-1-Platten aus. Der Nutzer hatte diese Konfiguration extra aus Gründen der Datensicherheit gewählt. Da bleibt Doc Storage leider nur eine Antwort: Ein RAID ersetzt kein Backup.


15.05.2020 Doc Storage: »Ich vermisse den Gegenwind«

Doc Storage ist fassungslos, fast sogar ein kleinwenig sprachlos. Na ja, nicht ganz, Sie kennen ihn ja. Nachdem er den Einfluss der Coronakrise auf die IT ausführlich und aus verschiedenen Blickwinkeln beleuchtet hat, inklusiver einiger steiler Thesen, ist es ihm hier eindeutig zu ruhig. Da hatte er sich mehr Gegenwind erwartet. Liebe Leser, unser Doc hat Ihnen etwas zu sagen…

powered by
Zadara Pure Storage Germany GmbH
Infortrend Fujitsu Technology Solutions GmbH
FAST LTA N-TEC GmbH
Folgen Sie speicherguide.de auch auf unseren Social-Media-Kanälen
Folgen Sie und auf Facebook Folgen Sie und auf YouTube Folgen Sie und auf Twitter