DSGVO: Nur geringer Strafen in Deutschland

Die Massnahmen der ICO und die 50-Millionen-Euro-Strafe gegen Google durch die französische Aufsichtsbehörde im Januar 2019 zeigen, dass hierzulande in puncto Strafmass bei DSGVO-Verstössen noch viel Luft nach oben ist. So fiel das Bussgeld für das unverschlüsselte Speichern von Hunderttausenden Passwörtern gegen die Chat-Community Knuddels mit 20.000 Euro verhältnismässig gering aus. Und die Gesamtsumme der bisher verhängten (bekannten) Bussgelder in Deutschland beläuft sich für circa 100 Fälle auf rund 500.000 Euro. Mindernd wurde dabei berücksichtigt, dass die Unternehmen die Datenpanne selbst meldeten, mit den Behörden kooperierten und die Fehlerquellen sofort behoben – das sind denn auch die drei Kernlehren aus den Verfahren.

Die DSGVO enthält keinen Katalog an IT-Security-Massnahmen, sondern wählt bewusst einen risikobasierten Ansatz. Unternehmen sollten deshalb selber prüfen, ob ihre IT-Security-Massnahmen für die vom Unternehmen verarbeiteten Daten und Zwecke angemessen sind.

Es gilt die Regel: Je höher das Risiko für die Betroffenen, desto höher muss das Schutz­niveau sein.