Top 3 Bußgelder im September 2021
- WhatsApp verstößt gegen die Transparenzvorgaben: 225 Mio. € Bußgeld.
- Vattenfall Europe Sales GmbH verletzt die Transparenzpflicht bei regelmäßigen Vertragswechseln: 901.388,84 € Bußgeld.
- Die Stadtverwaltung Rom missachtete den Datenschutz bei der Nutzung neuinstallierter Parkuhren: 800.000 € Bußgeld.
Prävention von Sicherheitsvorfällen
Im Jahr 2021 häufen sich die Meldungen über Sicherheitsvorfälle weltweit, Angriffe gegen deutsche Unternehmen steigen ebenfalls rasant an. Während sich die gemeldeten Fälle 2018 noch auf 227 beziffern ließen, stiegen sie 2019 bereits auf 450 und 2020 auf 635 Meldungen. Stand November 2021 verzeichneten die Behörden bereits 750 Meldungen deutscher Unternehmen. Rund ein davon Drittel beziehen sich explizit auf Cyberkriminalität. Statistiken zufolge kostet eine Cyberattacke im Schnitt 21.818 EUR je Vorfall . Erpressungstrojaner in verschiedenen Varianten stellen in diesem Jahr eine besorgniserregende Entwicklung dar. Daher ist die Vorsorge ein Mittel, welches wichtiger denn je ist. Neben Datensicherungen, Härtung der Systeme, Notfallpläne und Weiterbildung der Beauftragten, sollte die Mitarbeitersensibilisierung nicht vernachlässigt werden!
Überprüfung der Einwilligungen auf Webseiten von Medienunternehmen
In diesem Jahr haben mehrere Datenschutzaufsichtsbehörden gemeinsam Medienunternehmen in 11 Ländern einer Überprüfung unterzogen. In der Praxis stellt die Umsetzung der Vorgaben der DSGVO bzgl. Nutzertracking auf der Webseite viele der geprüften Unternehmen eine hohe Herausforderung dar. Zwar besteht hier der Bezug der Prüfung auf reine Medienunternehmen, die ausschlaggebenden Prüfpunkte sind jedoch auch für Unternehmen aller Branchen relevant. Bemängelt wurde unter anderem bereits gesetzte Cookies, bevor eine Einwilligung des Nutzers eingeholt wurde. Weiterhin erschweren viele Unternehmen das Ablehnen von Tracking und manipulieren Webseiten so, dass eine einfache Ablehnung nicht möglich ist.
Datenschutz und MS 365
Auch in diesem Jahr ist nach aktuellem Stand eine Übertragung personenbezogener Daten in die USA explizit untersagt. Eine Übertragung unterliegt strikten Voraussetzungen und Prüfungen. Einer dieser Voraussetzungen ist der Abschluss der neuen Standardvertragsklauseln . Der EDSA hat hierzu Empfehlungen verfasst, welche bei der Prüfung der Rechtslage im Drittland und der ergänzenden Maßnahmen herangezogen werden können. Verantwortliche Stellen, welche personenbezogene Daten in Drittländer wie die USA übermitteln, sind dazu angehalten einen Nachweis gegenüber der Aufsichtsbehörde zu erbringen, dass eine Prüfung im Einzelfall stattgefunden hat und in einem positiven Ergebnis resultierte.
Drei Jahre Datenschutzgrundverordnung
Datenschutzaufsichtsbehörden bezeichnen die Wegbereitung in eine digitale Gesellschaft als größten Erfolg der Datenschutzgrundverordnung. So fordern ihre Grundsätze unter anderem eine ausreichende Transparenz der Datenverbindung, eine Zweckbindung und eine Minimierung des Personenbezugs der Daten. Nach nun drei Jahren sollten allen verantwortlichen Stellen bewusst geworden sein, dass die Umstellung nicht in dem Chaos endete, wie vermutet wurde. Allerdings zeigen die drei Jahre auch einige Schwächen der Datenschutzgrundverordnung auf: Viele Regelungen sind abstrakt und lassen Raum für unterschiedliche Interpretation. So ist es bislang noch nicht gelungen einen wirklichen europäischen Standard zu etablieren. Öffnungsklauseln einzelner Länder ermöglichen Spielräume für die Mitgliedsstaaten. Konkrete Maßnahmen zur Modernisierung der digitalen Welt wie Big Data, das Internet der Dinge oder die künstliche Intelligenz sind nicht vorhanden. Die mangelnde Bestimmtheit vieler Regelungen stellt Verantwortliche tagtäglich vor Herausforderungen. Ebenso wird der Einsatz von WhatsApp aufgrund der Datenübermittlung an Facebook als datenschutzrechtlich schwierig bezeichnet. Ein Antrag des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit auf Verbot dieser Datenübermittlung wurde abgelehnt.
Was hält die (Datenschutz-)Zukunft bereit?
Diese Frage ist selbstverständlich ungewiss, einige Tipps zur korrekten Aufbereitung der Umsetzung des Datenschutzes sind jedoch geblieben:
So sollte stets eine aktuelle Liste mit allen Auftragsverarbeitern gepflegt werden, um die entsprechenden Auftragsverarbeitungsverträge schließen zu können.
Technische und organisatorische Maßnahmen sollten regelmäßig überprüft und dem Stand der Technik angepasst werden.
Private Daten und Firmendaten sollten so gut es geht getrennt werden.
Um das Risiko einer Datenschutzpanne zu minimieren, empfiehlt sich die Durchführung einer Mitarbeitersensibilisierung. Je aufgeklärter die Mitarbeiter sind, desto geringer ist das Risiko einer Datenschutzpanne.
Quellen:
https://de.statista.com/statistik/daten/studie/1230400/umfrage/durchschnittliche-durch-cyberkriminalitaet-verursachte-kosten-in-deutschland/
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_de
https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf
