DSGVO: Deutschland auf Platz #2 mit höchsten Bußgeldern

• Europaweit ist Italien am teuersten bei DSGVO-Bußgeldern, aber in Spanien wird am häufigsten abgemahnt
• Deutschland mahnt seltener ab (27x im letzten Jahr), aber ist auf Platz #2 der teuersten Bußgeld-Länder
• Die meisten deutschen Bußgelder sind gering; doch zwei Bußgelder  gegen H&M (35 Mio. Euro) und Deutsche Wohnen (14 Mio. Euro) verzerren die Statistik.

Welche Daten kursieren im Internet von jedem einzelnen von uns wie sicher diese Daten denn nun letztlich wirklich? Das ist das Spielfeld des Datenschutzes, der durch die DSGVO 2018 ein neues schlagkräftiges Instrument gewonnen hat.

Statistik: Deutschland hat recht niedrige Bußgelder

Diese Aussage passt nicht zum Titel des Beitrags, aber lasst uns erklären: Deutschland hat recht wenige Bußgelder verordnet (liegt mit aktuell 27 Bußgeldern im europäischen Mittelfeld), aber zwei Bußgelder stechen heraus:

Gegen die Modekette H&M wurden Bußgelder in Höhe von 35 Mio. Euro und gegen Deutsche Wohnen in Höhe von 14,5 Mio. Euro verhangen. Alle anderen Bußgelder nehmen sich ausnahmslos niedriger aus:

• Die Krankenversicherung AOK musste 1,24 Mio. Euro zahlen
• Der Internet-Anbieter 1&1 musste nur 900.000 Euro zahlen (ursprünglich 9 Mio. Euro, aber durch deutsche Gerichte abgemildert)
• Dagegen nehmen sich Strafzahlungen wie bei Facebook (51.000 Euro) oder der N26-Bank (50.000) geradezu harmlos aus – was sie angesichts der Größen der jeweiligen Konzerne sogar sind.

Europaweit: Italien hat die höchsten, Spanien die meisten Bußgelder

Deutschland ist also kein Land mit besonders hohen Bußgeldern – eigentlich im Gegenteil, hier im internationalen Vergleich:

Datenschutz in Deutschland: Woran scheitert die Umsetzung?

Doch auch schon vor Strafzahlungen kämpfte man in Europa mit dem Datenschutz.

Alleine die in Kraft getretene DSGVO hat für vermeintlich besseren Datenschutz gesorgt. Die Frage wie sicher sind eure Daten im Internet ist dadurch allerdings kaum beantwortet oder verbessert worden.

Gerade die im Mai 2018 in Kraft getretene Datenschutz-Grundverordnung hat in Deutschland für massive Probleme und viel Kritik gesorgt. Plötzlich müssen sich Millionen kleinerer Blogs, Magazine, Nischenseiten und Online Shops-Gedanken darüber machen was sie tun, alle Prozesse hinterfragen und diese auflisten und zur Not entsprechend verändern. Alleine der Zeitaufwand, die Arbeit die damit verbunden war, und das teilweise wirklich ernüchternde Ergebnis, haben dafür gesorgt, dass manche Internetseiten gelöscht wurden und komplett vom Netz gegangen sind.

Probleme beim Rechtsverständnis

Die meisten Internetseiten haben Daten gesammelt. Ein klassischer WordPress-Blog, der seine Statistiken mit dem Google Analytics erstellt hat, geriet sofort in die Schusslinie der DSGVO. Zumindest gefühlt war es so. Die DSGVO als Gesetzeswerk ist eine gute Initiative. Leider fehlt es bei den meisten Unternehmen an der nötigen Rechts- und Medienkompetenz, denn Datenschutz ist eine komplexe Materie:

DSGVO, Teil 2: Hörerfragen | Nr. 25 – #Onlinegeister

Podcast: Play in new window | Download | Embed Abonnieren Google Podcasts | RSS | Abo Wie ab sofort immer gibt es die neue Folge einen Tag vor der regulären Ausstrahlung als Podcast: Die DSGVO ist seit einem Monat in Kraft und die von vielen erwartete Apokalypse ist ausgeblieben.

Alleine ein Plugin zum Schutz vor Kommentarspam hat hier schon Probleme bereitet und war als WordPress-Plugin bereits Bestandteil der Grund-Installation des Content-Managment-Systems WordPress. Das Problem war, dass dieses Plugin alle Kommentare zusammen mit der IP-Adresse des Absenders in die USA geschickt hat, um dort eine Auswertung zu erfahren. Das Plugin stellte so seit Jahren einen kostenlosen, Cloud basierten Dienst zur Verfügung der alleine Aufgrund der massiven Datenmengen perfekt funktioniert hat. Das dieses Plugin oder die Betreiber die Kommentare jemals genutzt hätten um auf einzelne Personen zurückzugreifen ist sehr unwahrscheinlich, weil relativ kompliziert und aufwändig.

Dennoch mussten Seitenbetreiber dieses Plugin deaktivieren und kämpfen seither mit weniger effizienten Plugins gegen Kommentarspam, was den Aufwand deutlich erhöht. Zusätzlich jedoch zeichnet die Kombination WordPress/Google Analytics durchaus Daten auf, mit denen man in der Lage gewesen wäre entsprechende Rückschlüsse auf Personen durchzuführen, doch wozu? Wozu sollte ein Seitenbetreiber eines Blogs Rückschlüsse auf bestimmte Personen schließen wollen, wenn nicht maximal aufgrund einer Selbstmordankündigung, einer Beleidigung oder anderer Straftaten?

Nachteile durch Datenschutz?

In diesem Sinne sind jetzt vor allem Tätergruppen geschützt worden, weil Ermittlungen länger dauern und wesentlich aufwändiger werden. Fakt ist allerdings auch, dass Normalnutzer wohl meist niemals merken ob eine Website Daten nun entfernt hat oder nicht, ob aufgezeichnet wird oder anonymisiert. Hier fehlen häufig die Einsichtsmöglichkeiten.

Ein Schutz geht immer nur so weit, dass es irgendwann ineffizient wird ihn zu umgehen. Wer zum Beispiel Kreditkartendaten stehlen möchte, der rechnet sich sicherlich gut aus, was ihm das bringt. Wenn aber alleine der Aufwand so teuer ist, dass sich damit nichts mehr verdienen lässt, dann wird derjenige den Diebstahl nicht durchführen. Das sind natürlich Mutmaßungen, die aber wiederum helfen können Datenschutz durchzusetzen. Komplexität und Kompliziertheit machen auch vor Hackern nicht Halt.

Doch genauso komplex und kompliziert wird es für Schützer.

Haustür-Problem im Datenschutz

Je größer eine Datensammlung und je größer ein Netzwerk, wie zum Beispiel Facebook, umso einfacher wird man auch an Daten kommen. Allein deswegen, weil es schwerer wird die Daten effizient zu sichern.

Datenschutz-Tipps | Nr. 19 – #Onlinegeister

Podcast: Play in new window | Download | Embed Abonnieren Google Podcasts | RSS | Abo So wie wir das Jahr begannen, enden wir auch: Windows ist der Teufel und alles, was aus den USA kommt ist verseucht – wirklich?

Das Problem lässt sich mit dem Haustür-Problem darstellen: Hat ein Haus eine Eingangstüre, so kann ich diese ohne Probleme mit einem Sicherheitsschloss und einem Stahlriegel von innen versehen und die Fenster vergittern lassen. Alles Dinge, die im Rahmen des Machbaren liegen. Hat mein Haus aber 50 Eingangstüren und für jede Tür haben 100 Leute einen Schlüssel, wird es schon massiv schwerer die Sicherheit zu gewährleisten.

Daten im Internet sind schon gut geschützt vor allem gegen den Zugriff von jedem einfachen Kriminellen. Oftmals sind die Daten auch kaum relevant für kriminelle Zwecke. Wer zum Beispiel die E-Mails des Autoren dieses Artikels hacken würde, der hätte zwar zigtausende Mails, vor allem Spam. Aber wirklich etwas damit anfangen könnte derjenige nicht.

Er könnte einen eBay-Account hacken, in dem vielleicht keine Zahlungsmöglichkeiten hinterlegt sind, er könnte weitere E-Mail-Accounts hacken (durch die Funktion der Passwortwiederherstellung), um das gleiche zu haben. Er könnte sich in den Bankaccount hacken, um Kontostände abzurufen, er könnte ein bisschen Stress in sozialen Medien verursachen oder den ein oder anderen Spieleaccount stehlen. Aber wirklicher Schaden wäre eher nicht passiert, da die meisten sensiblen Konten und Accounts heute meist über eine 2-Faktor-Authentifizierung gesichert sind oder wie beim E-Banking über TAN-Verfahren weitere Sicherungen bestehen.

Fazit: DSGVO funktioniert – und Deutschland steht im Mittelfeld

Die DSGVO funktioniert – und wenn ich bedenke, wie teuer es werden könnte, sind die bisherigen Bußgelder nocht akzeptabel.

Aber es wird auch deutlich: Die Bußgelder nehmen in Höhe zu. Allerdings auch bei sehr großen Konzernen wie Marriott oder eben British Airways. Es gilt zu beobachten, wo sich die Bußgelder einpendeln. Gegen kleine und mittlere Unternehmen (KMU) wurde bislang nur moderat vorgegangen. Allerdings wird vorgegangen: In Österreich wurde selbst ein Döner-Kebab-Besitzer zu einer Strafzahlung verdonnert – in Höhe von 1.800 €. Auch wichtig: Die Landesdatenschutzbehörden mahnen erstmal an, bevor sie abmahnen.