Nun beabsichtigt die britische Aufsichtsbehörde also, ein Bußgeld in Rekordhöhe von rund 204 Mio. Euro gegen British Airways zu verhängen.
Im Juli 130.000 Euro Bußgeld gegen Unicredit in Rumänien. Mai 2019: Bußgeld in Höhe von 61.500 Euro gegen MisterTango in Litauen.
März 2019: 170.000 Euro Bußgeld gegen Stadtverwaltung Bergen in Norwegen.
Das erste Bußgeld nach DSGVO in Deutschland, 20.000 Euro, wurde bereits im Herbst 2018 gegen den Anbieter einer Dating-Plattform (Knuddels) erhoben.
Was haben diese Bußgelder gemeinsam?
Sie wurden aufgrund von Verstößen gegen Art. 32 DSGVO und Art. 5 Abs. 1 lit. f. DSGVO erhoben, aus denen in der Folge Verletzungen des Schutzes personenbezogener Daten (also kurz "Datenpannen") resultierten.
Art. 32 DSGVO ist das "Fundament" für die tatsächliche Absicherung personenbezogener Daten. Natürlich sind dazu organisatorische Maßnahmen wie Richtlinien, Verpflichtungen, Datenschutz-Konzepte, Schulung/Sensibilisierung etc. notwendig. Aber nur z.B. eine schöne Richtlinie zu verfassen ist das Minimum an "Maßnahme".
Wenn die tatsächlich machbaren (und angemessenen) technischen Lösungen dahinter nicht vorhanden sind, ist Datenschutz nur Makulatur.
So neigen Verantwortliche bei der Erstellung ihres "TOM"-Dokuments dazu, Angaben zu machen die sich "gut anhören".
Ein Beispiel ist das "Vier-Augen-Prinzip", das in vielen Mustern und Vorlagen für TOM-Dokumente im Bereich der Zugriffskontrolle als ein möglicher Punkt angegeben ist. Häufig wird dieses aus einem falschen Verständnis heraus angekreuzt. Dass hierzu tatsächlich z.B. die Eingabe von Zugangskennungen zweier autorisierter Personen beim Zugriff auf sensible Daten notwendig und technisch implementiert sein müsste, wird dabei vergessen.
Was aber die eigentlichen Diskrepanzen zwischen TOM und tatsächlichen technischen Schutz-Maßnahmen produziert, ist der Mangel an durchgängiger Betrachtung der (zumindest wichtigsten) Prozesse hinsichtlich Datenschutz.
Wer sich kein umfassendes Security-Audit leisten kann und will, sollte wenigstens die "kritischen" (Verarbeitungs-)Prozesse von Anfang bis Ende betrachten.
Nehmen Sie kein "Ankreuz"-Dokument für Ihre TOMs. Stellen Sie sich die wichtigsten Fragen und beschreiben Sie Ihre reale Umgebung und die umgesetzten Maßnahmen.
Sehen Sie sich Artikel 32 DSGVO ruhig mal an. Allein schon Abs. 1 Buchstabe a (Pseudonymisierung und Verschlüsselung) sollte, zumindest was die Übertragung und die Speicherung personenbezogener Daten betrifft, sofort alle Alarmglocken schrillen lassen, wenn in diesen Punkten Lücken bestehen.
Die grundlegende Überlegung, ob man die wichtigen Gewährleistungsziele
- Vertraulichkeit,
- Verfügbarkeit/Belastbarkeit und
- Integrität
personenbezogener Daten in jedem einzelnen Prozess-Schritt auch wirklich angemessen technisch umsetzt, ist Voraussetzung für die Vermeidung von Datenpannen und hohen Bußgeldern.
Und - Datenminimierung sowie Speicherbegrenzung wirklich ernst zu nehmen ist der erste Schritt um Bußgelder zu vermeiden. Denn die Daten sind am sichersten, die man nicht verarbeitet.