Das erste Bußgeld nach Datenschutz-Grundverordnung (DSGVO / GDPR) in Deutschland wurde verhängt. Gehandelt hat nun, wie Security Insider berichtet, der LfDI (Landesbeauftragter für Datenschutz und Informationsfreiheit) Baden-Württemberg. Mit Bescheid vom 21.11.2018 sei gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000 Euro verhängt worden.

Doch in dem Bericht stehen noch weitere interessante Details. Nachdem den Datenschutzbehörden in den Monaten seit Inkrafttreten der DSGVO vor allem Überforderung bescheinigt worden war, scheinen die Datenschützer nun tatsächlich aktiv zu werden. Security Insider berichtet:

Die Aufsichtsbehörden für den Datenschutz führen zudem sehr konkrete Prüfungen durch.

Bei den Prüfungen geht es nicht nur um die Einhaltung von Eckpunkten, sondern um die Beachtung sehr konkreter Vorgaben.

Geprüft werden unter anderem:

  • die Konformität von Facebook-Fanpages
  • die Organisation, datenschutzkonforme Verarbeitung, Umgang mit Betroffenenrechten sowie mit Datenschutzverletzungen
  • der sichere Betrieb von Online-Shops
  • der Schutz vor Verschlüsselungstrojanern in Arztpraxen
  • die Erfüllung der Rechenschaftspflicht bei Großkonzernen und mittelständischen Unternehmen
  • die Umsetzung der Informationspflichten in Bewerbungsverfahren
  • das Löschen von Daten bei ERP-Systemen (SAP)
  • Datenschutzverletzungen bei (Unter-) Auftragverarbeitern
  • das Patch Management WordPress
  • das Patch Management bei eCommerce-Systemen / Online-Shops (Magento)
  • Informationspflichten in Bewerbungsverfahren
  • Ransomware bei Arztpraxen

Ausgangspunkt für das erste DSGVO-Bußgeld war ein Hackerangriff.

Der Umgang mit personenbezogenen Daten ist für viele Unternehmen wegen der DSGVO kein angenehmes Thema

Der Umgang mit personenbezogenen Daten ist für viele Unternehmen wegen der DSGVO kein angenehmes Thema

Was kann man nun aus dem ersten DSGVO-bedingten Bußgeld lernen?

  • Dem LfDI wurde bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet, gespeichert hatte.
  • Das Unternehmen hatte sich selbst bei der Behörde gemeldet, die daraufhin geprüft hatte.
  • Durch die unverschlüsselte Speicherung verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten.
  • Das Bußgeld betrug laut Security Insider 20.000 EUR.
  • Innerhalb des Bußgeldrahmens habe die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens gesprochen.
  • Daher sei das Bußgeld von 20.000 EUR verhältnismäßig.

Auch Kommunen werden auf Einhaltung der DSGVO geprüft

Nicht nur Unternehmen, auch Behörden werden auf Einhaltung von DSGVO-Richtlinien überprüft.

150 niedersächsische Kommunen haben Post von der zuständigen Landesbeauftragten für den Datenschutz erhalten. Die Aufsichtsbehörde prüft, wie gut die Städte und Gemeinden ihre Arbeit an die neuen Anforderungen angepasst haben und wo sie noch nachbessern müssen.

DSGVO-Bußgelder: Branchen, die im Fokus stehen sind u.a. Social Media, Personal, Gesundheit

Unternehmen in den Bereichen Social Media, Gesundheitswesen, Personalvermittlung / Zeitarbeit sowie Gesundheit stehen – das haben unsere Hintergrundgespräche zum Thema mit Juristen ergeben – ganz besonders im Fokus der Datenschutzbehörden. Diese Unternehmen sollten daher ihre DSGVO-Konformität aktuell stets strikt im Blick haben.

Verwandte Beiträge auf lotsofways.de:

Newsletter DSGVO-konform und made in Germany

Verzeichnis von Verarbeitungstätigkeiten nach DSGVO mit Semantic MediaWiki