Tyskland udsteder sin første GDPR-bøde

Ufatteligt at der stadig er nogen i 2018 der gemmer passwords i clear text. Der er ingen grund til ikke at ikke at hashe passwords overhovedet. Der er derimod al mulig grund til at gøre det nu hvor GDPR er indført, selvom 20k € lyder billigt sluppet når den lækkede mængde data er 300k records. De grove tilfælde af overtrædelse straffes med 2% og i gentagne særligt grove tilfælde op til 4% af virksomhedens globale omsætning, men måske er dating sites slet ikke så god en forretning som det lyder?

Hej Nicolaj, det med de hhv. 2% og 4% af omsætningen har altid været "maksimale beløb" ikke minimumsbeløb. Det er den nationale myndighed der i praksis afgør bødens størrelse. Så loven har egentlig bare givet en forsikring om bøden aldrig kan blive større end 2%/4%. Men det er ikke desto mindre de 2%/4% de har været mest oppe - godt hjulpet af "GDPR-konsulenter" som har hypet det for at kunne få ledelsens opmærksomhed.

Tror at det er "meget samarbejdsvillig." som har betydning, hvis de have forsøgt at skjule det, ikke samarbejdet så kunne vi måske have set en betydeligt større bøde.

Synes måske også at bøden kunne have været lidt større. så det have været billige at få ansat en til at få styr på sikkeheden.

Men det her er jo også starten, og selv om vi har haft en persondata lov i 20 år, og der har været langt tid til at få styr på GDPR, så tror jeg at samme bøde, for samme ting vil være betydelig højere om 3-5 år.

3000 euro er jo ingenting - det batter altså ikke meget i forsøget på at skabe ændringer hos virksomheder, der med sindsro kan afvente besøg for at se om det er nødvendigt at gøre andet end det nemme og billige.

Nu var bøden så 20.000 euro og ikke 3.000. Og jeg er også sikker på at hele samarbejdstingen tæller med. Hvis virkosmheder oplever at transparens og positivt samarbejde med myndighederne stiller dem bedre, så tror jeg på at man får en kultur hvor det er lettere at indrømme fejl. Mens en kultur hvor selv de mindste fejl bliver til kæmpe bøder, højst sansynligt vil skabe mere lukkethed og forsøg på at skjule fejl..

Som jeg læser teksten fra det tyske delstats datatilsyn - https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-ve...

Er normalbøden for den slags - et sekscifferet eurobeløb;

"Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen."

LfDI Baden-Württemberg bruger en masse høftlige ord, men essensen er at datingselskabet har opført sig eksemplarisk og har aktivt medvirket til at opklare sagen og til straks at højne sikkerheden betydeligt.

Hvis du kender lidt til tyske forhold/sprog, så står der også bag de høftlige ord, at "hammeren falder hårdt" på dem som ikke samarbejder som datingselskabet gjorde det.

Jeg ved ikke hvad man tjener som datingsite med 330.000 "medlemmer", men en bøde til et sådan site på f.eks. 200.000 euro - vil formentlig havde knækket selskabet økonomisk.

Og det er vel også det som LfDI Baden-Württemberg indirekte skriver når de omtaler, at det som det drejer sig om, er at forbedre datasikkerheden og ikke deltage i en konkurrence om at give højeste bøder;

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Takker, skrev 3000 men det var nu den egentlige str jeg havde i hovedet - jeg er så enig med andet oplæg i at eks 200.000 kunne have ruineret virksomheden MEN det afholder jo ikke domstolene fra i andre sammenhænge at idømme bøder eks til privatpersoner der ligger uden for deres aktuelle økonomiske formåen.

MEN det afholder jo ikke domstolene fra i andre sammenhænge at idømme bøder eks til privatpersoner der ligger uden for deres aktuelle økonomiske formåen.

Det tror jeg så også havde været tilfældet, hvis ikke datingsitet øjeblikkeligt havde gået "bodsgang" og aktivt medvirket til at forbedre datasikkerheden på datingsitet.

Det er under alle omstændigheder, det som Dr. Brink anfører som grunden for ikke at give en høj bøde.

Jeg synes ikke, at man nødvendigvis bør lægge ud med bøder som i praksis svarer til en konkurserklæring - overfor de sites som går "bodsgang" inkl. at forbedre sikkerheden.

Jeg tror godt at du kan regne med, at det datingsite indenfor den nærmest fremtid, igen får kontrolbesøg.

... det med de hhv. 2% og 4% af omsætningen har altid været "maksimale beløb" ikke minimumsbeløb. Det er den nationale myndighed der i praksis afgør bødens størrelse. Så loven har egentlig bare givet en forsikring om bøden aldrig kan blive større end 2%/4%.

Morten, det er desværre forkert! GDPR giver bøder på op til 20 millioner EUR til privatpersoner og små virksomheder, så de i realiteten må lukke.

Begrænsningen til {maximum af 20 millioner EUR og 4% af den årlige globale omsætning} er udelukkende lavet til glæde for store "too big to fail" virksomheder, altså primært virksomheder med over 500 millioner EUR i årlig omsætning.

Her er uddraget fra Artikel 83 stk. 5, der fastslår 4% bøderammen:

Overtrædelse ... straffes i overensstemmelse med stk. 2 med administrative bøder på op til 20 000 000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere