DSGVO: Gerne noch höhere Bußgelder
Kolumne Doc Storage:
Wie hieß ein beachtenswerter Streifen aus dem Jahr 92: »Die Stunde der Patrioten«. Und genau in dieser Stunde scheinen wir uns nun in einer beginnenden Endlosschleife (ich weiß, sowas gibts eigentlich nicht...) zu befinden. Überall springen nun Datenschutzbeauftragte aus den Hecken, da sie die mehr oder weniger sinnvolle Datenschutz-Grundverordnung als Gelddruckmaschine für ihre kränkelnden Haushalte entdeckt zu haben scheinen. Jaja, ich weiß, ihnen gehts ja nur um den Schutz der Daten des »Verbrauchers«. Moment, ich muss mich eben wieder hinsetzen, bin ich doch vor Lachen unter den Tisch gerutscht.
Da werden Millionenstrafen gegen größere Unternehmensanleihen ausgesprochen, fast 10 Millionen gegen 1&1, 14,5 gegen die Deutsche Wohnen, und auch mal »nur« Zehntausende gegen kleine Firmen, denen solche Beträge wesentlich mehr wehtun dürften als die Millionen den Großen. Jaja, Strafe muss sein, und Zeit genug hatten wir zur Implementierung der DSGVO alle, darüber will und werde ich nicht mehr diskutieren. Was ich allerdings bezweifele ist, dass der Fiskus mit irgendwelchen Geldstrafen, so hoch sie auch sein mögen, irgendwas besser macht oder auch nur beschleunigt.
Nach meinen Erfahrungen gibt es vier Typen von IT-Abteilungen oder -Unternehmen, wenn es um die Brüsseler Verordnung geht:
- 1. Die jedem Buchstaben des Gesetzes hündisch ergebenen. Sie wollen mit niemandem Ärger bekommen, jegliche negative Presse tunlichst vermeiden, und haben deshalb schon am ersten Tag nach Inkrafttreten des Werkes mit dessen Umsetzung begonnen, um ja im Mai 2018 komplett durch zu sein. Natürlich wird es auch bei diesen die eine oder andere Lücke geben, allerdings wird es hier in den meisten Fällen bei einem Hinweis zur Nachbesserung durch die kontrollierenden Behörden bleiben. Hier ist nichts zu holen.
- Die murrenden, die dann aber doch zum Stichtag alles (oder zumindest das meiste) fertig haben. Sie lassen bei jeder sich bietenden Gelegenheit ihrem Frust freien Lauf, schimpfen auf »die da in Brüssel«, und dass hier Juristen mal wieder Gesetze für die EDV erlassen haben und so weiter. Aber im Ende haben sie dann doch auf magische Weise im Mai 2018 alles fertig gehabt. Vielleicht, weil das meiste, was in der DSGVO drinstand, gar nicht so neu war, wie es viele meinen, sondern im Bundesdatenschutzgesetz BDSG schon seit 1978 geregelt war (man schaue sich nur Paragraph 6 an, da war das »Recht auf Vergessenwerden« schon manifestiert, lange bevor Brüssel darauf gekommen ist). Hier ist auch nichts zu holen.
- Diejenigen die meinen, schon nicht erwischt zu werden. Die sich für so klein halten, dass sie unterm Radar durchkommen oder so groß, dass es niemand wagen wird, ihnen vor das Schienbein zu treten. Und die werden sich früher oder später getäuscht sehen. Natürlich muss sich jedes Unternehmen, welches Daten von Kunden oder anderweitig von Privatpersonen speichert, verdammt noch einmal darum kümmern, sorgfältig und schützend mit diesen umzugehen. Das heißt nicht nur, die DSGVO zu implementieren (oder zumindest zu begründen, warum man es nicht kann, siehe Beitrag letzte Woche), sondern auch, die dafür Verantwortlichen bereitzustellen, wie Datenschutzbeauftragten, DSO und was nicht noch alles dazugehört. Jemand der das nicht tut, kann die Daten seiner Nutzer auch gleich ausdrucken und an der nächsten S-Bahn-Haltestelle zur Lektüre auslegen. Das ist strafbar, ob nun »nur« im Wortsinn oder auch juristisch, und gehört bestraft. Vor allem jetzt, fast zwei Jahre nach Ablauf der Implementierungspflicht. Dann tut mir auch keiner mehr leid, der wie beispielsweise 1&1 jetzt erst, nach Androhung von fast zehn Millionen Euro Strafe, darauf kommt, dass man am Telefon bestimmte Daten einfach nicht rausgibt. Punkt Ende Aus!
- Und die letzte Gruppe, diejenigen die meinen, dass sie das alles nichts angeht. Gut, sie speichern keine Daten von Kunden in Datenbanken. Schön, aber haben Sie schonmal Serienbriefe geschrieben, vielleicht zu Werbezwecken? Haben Sie schon einmal eine Stelle ausgeschrieben und die eingegangenen Bewerbungen, inklusive Lebensläufen und Lichtbildern irgendwo gespeichert? Und ein Backup davon gezogen? Und das ist dann irgendwann ins Archiv gelaufen? Man sieht, NIEMAND, der in seinem Unternehmen einen Rechner benutzt, und der muss noch nicht einmal vernetzt sein, ist immun gegen die DSGVO. Wie gesagt, das alles gilt ja nicht erst seit zwei Jahren, sondern schleichend bereits seit 41 (!!!). Und auch von diesen tut mir keiner leid, denn laut genug wurde es verkündet, und in (oder für) jeder Firma gibt es mindestens einen Juristen, der begreifen sollte, was da auf einen zukommt.
Egal zu welchem Typ die Beschuldigten nun gehören. Ob wie bei 1&1 man wirklich geglaubt hat, mit der Herausgabe von Informationen am Telefon durchzukommen (und nun mit »Service-PINs« eine mehr als fragwürdige Notlösung schafft), ob man es wie bei der Deutschen Wohnen über Jahre nicht für notwendig erachtet hat wenigstens zu erklären, warum man etwas schlicht nicht tun kann und vor allem, was man tut, um die Daten zu schützen. Oder aber wie bei vielen anderen, meist »kleinen« Firmen, die bis heute keinen Datenschutzbeauftragten ernannt haben. Das gehört geahndet.
Aber nicht, wie im Falle von 1&1, mit einem Betrag von noch nicht einmal 0,2 Prozent des Jahresumsatzes. Leute, wie sehr die sich kaputtlachen, kann man doch an den jetzt ergriffenen »Maßnahmen« sehen. Daten werden weiterhin am Telefon rausgegeben, wenn auch jetzt mit einem Service-PIN, und nicht wie es sich gehört wenigstens per Post zugesendet. 0,2 Prozent, das dürfte die berühmte Portokasse gerade noch hergeben. Auch bei der Deutschen Wohnen wurde die Faulheit mit einer Strafe von gerade einmal 0,5 Prozent des EBIT, man muss fast schon sagen belohnt. Auch hierfür wird der Konzern seine Briefmarkensammlung gar nicht zur Gänze veräußern müssen. Und das für die Unverschämtheit, den Hinweis auf nicht bestehende Prozesse oder wenigstens nichtexistierende Dokumentationen schlichtweg zu ignorieren.
Beide Fälle zeigen, dass die Bundes-, Landes- oder was auch immer Datenschützer nichts, aber auch gar nichts durchsetzen werden. Auch wenn ich jetzt wieder Hater-Mails provoziere: Jedes Unternehmen, das derart leichtsinnig mit den Daten der Kunden umgeht oder dessen DV- und Rechtsabteilungen quasi zu faul sind in die Umsetzung zu gehen, gehören an den Rand der Existenz geführt, damit sie von dort einen Blick in den tiefschwarzen Abyss der Abwicklung werfen können. Gewisse Automobilhersteller haben in den letzten Jahren Milliarden an viele Länder gezahlt, weil ihren Ingenieuren die Umwelt am Allerwertesten vorbeiging. Wieso geht das nicht bei anderen Firmen, denen die Sicherheit der Daten ihrer Nutzer und Kunden offensichtlich egal ist.
Ich weiß, ich habe mich in den letzten Jahren mehrfach nicht sehr positiv zur DSGVO geäußert. Dies allerdings eher aus operativer denn aus logischer Sicht. Und nochmal: Das meiste, was in dem Ding aus Brüssel drinstand, gab es in Deutschland schon seit über 40 Jahren. Es hat nur niemand ernst genommen. Vielleicht sollte man nun einmal anfangen, mehr als nur lächerliche Strafen zu verhängen, gegen die die Betroffenen dann auch noch wagen anzugehen, anstatt einfach kleinlaut Besserung zu geloben. Ach ja: Neben den Strafen hat auch der Kunde die Möglichkeit, den Firmen, die sich so verhalten, sein Vertrauen, vulgo sein Geld zu entziehen. Das trifft die Herrschaften langfristig mehr als diese Prozent-Fragmente.
Gruß
Doc Storage
- Doc Storage: DSGVO: Müssen Archive mit WORM-Speichern abgeschaltet werden?
- Doc Storage: Storage-Forum, Storage2Day und was es nicht noch alles gibt…
- Doc Storage: Endlich: Hersteller wehren sich gegen Analysten
- Doc Storage: »Jobsuche in der IT über 40 – vergesst es…«
- Doc Storage: DSGVO für KMUs: Machen, nicht diskutieren