Es sind nur fünf Buchstaben, aber sich nicht nach ihnen zu richten, kann schnell kostspielig werden. In den Medien wurde die Datenschutz-Grundverordnung (DSGVO) häufig diskutiert, dennoch können viele Unternehmen mit persönlichen Daten immer noch nicht richtig umgehen. Und das kann teuer werden.
Im Mai 2018 hat die DSGVO neu definiert, wie EU-Unternehmen Kundendaten gewinnen, speichern und verarbeiten dürfen.
Unter anderem legt das Gesetz fest, was persönliche Daten sind und wie Benutzer darüber informiert werden sollten, falls und ggf. wie ihre Daten verarbeitet werden. Dank der riesigen Aufmerksamkeit, die die Medien der DSGVO gewidmet haben, hat jetzt die Öffentlichkeit ein besseres Verständnis für ihre Rechte in Bezug auf persönliche Daten.
„Die DSGVO hat das Bewusstsein der Bürger geschärft“, sagte IT-Sicherheits-Experte Jaroslav Oster, „so dass sie jetzt spürbar kompetenter sind eine Beschwerde zu begründen, falls ihre Rechte verletzt wurden. Und alle Behörden der Europäischen Union sind bei der Kontrolle der DSGVO-Einhaltung sehr aktiv.“
Da die Einhaltung der DSGVO die Bürger nicht automatisch vor Datenmissbrauch schützt, sehen manche Unternehmen die Verordnung als eine Belastung an, statt sie als Gelegenheit zu nutzen, um komplexe Datenschutz- und Cybersicherheitslösungen voll zu implementieren. Die Einhaltung der DSGVO schützt sie nicht unbedingt vor Datenmissbrauch. Falls Daten gestohlen werden, sind Unternehmen in den meisten Fällen verpflichtet, die Verantwortung zu übernehmen und das Ereignis den zuständigen Behörden zu melden, die wiederum Anklage erheben können, wenn nur unzureichende Maßnahmen durchgeführt wurden.
Das diesjährige DSGVO-Umfrage zu Datenmissbrauchsfällen von DLA Piper ergab, dass seit Inkrafttreten der DSGVO mehr als 161 000 Fälle von Datenmissbrauch in den 28 EU-Mitgliederstaaten einschließlich Norwegen, Island und Lichtenstein gemeldet worden sind. Nach Angaben von GDPR Enforcement Tracker sind bis Ende März 2020 Geldstrafen in Höhe von 467 Millionen Euro verhängt worden. Wer hatte daran den größten Anteil und warum?
1. British Airways berühren den Himmel
Zwischen Juni und September 2018 erlitt British Airways (BA) eine Datenpanne, bei der die persönlichen und finanziellen Daten ihrer ungefähr 500 000 Klienten gestohlen worden sind. Wie? Beim Besuch der BA-Webseite wurden die Benutzer auf eine andere, betrügerische Seite umgeleitet, auf der die Hacker die Daten gesammelt haben.
Aus der Perspektive der Airlines war dies ein unbeabsichtigtes Ereignis, das durch Dritte verursacht worden ist. Nichtsdestotrotz hab die BA die Daten ihrer Klienten nicht verantwortungsbewusst geschützt, wodurch sie gegen die DGSVO verstoßen haben. Im Juli 2019 verhängte das Information Commissioner’s Office (ICO) eine Geldstrafe in Höhe von mehr als 204 Millionen Euro gegen die Gesellschaft - bisher die höchste Geldstrafe dieser Art.
„Die persönlichen Daten der Menschen sind genau das: persönlich. Wenn eine Organisation bei ihrem Schutz vor Verlust, Beschädigung oder Diebstahl scheitert, so ist dies mehr als nur eine Unannehmlichkeit. Deshalb ist das Gesetz glasklar: Wenn Ihnen persönliche Daten anvertraut werden, müssen Sie sich um sie kümmern. Diejenigen, die sich einer diesbezüglichen Überprüfung durch meine Behörde unterziehen müssen, haben angemessene Maßnahmen eingesetzt, um die grundlegenden Datenschutzrechte zu schützen“, sagte Großbritanniens Datenschutzbeauftragte Elizabeth Denham.
2. Ein teurer Aufenthalt für die Marriott Hotels
Ein paar Tage später, auch im Juli 2019, wurde ein anderes britisches Unternehmen mit einer Geldbuße für die Nichteinhaltung der DSGVO bestraft. Diese Geldstrafe wurde ebenfalls im Zusammenhang mit einer Cyberattacke verhängt. Im Jahr 2018 meldete das Marriott dem ICO, dass „eine Vielzahl persönlicher Daten, die in ungefähr 339 Millionen der weltweiten Gastaufzeichnungen erfasst waren, einem Vorfall zum Opfer gefallen sind, von denen etwa 30 Millionen Daten die der Einwohner aus 31 Ländern des Europäischen Wirtschaftsraums (EWR) waren. Das ICO stellte fest, dass das Marriott die ordnungsgemäße Sorgfaltspflicht verletzt und seine Systeme nicht gesichert habe. Das ICO verhängte über das Unternehmen eine Geldstrafe in Höhe von mehr als 110 Millionen Euro.
3. Google holt auf
Im Januar 2019 bestrafte die französische Datenschutzbehörde CNIL Google mit einer Geldbuße in Höhe von 50 Millionen Dollar wegen „dem Mangel an Transparenz, unzureichenden Informationen und einem Mangel an Einverständniserklärungen zur Personalisierung der Werbung“, sagte die CNIL wörtlich. Laut der Behörden hat Google seine Benutzer nicht darüber informiert, wie und in welchen Apps ihre Daten verwendet werden. „Die Höhe der Strafe und ihre Publizität sind durch die Schwere der festgestellten Verstöße gegen die wesentlichen Prinzipien der DSGVO gerechtfertigt: Transparenz, Information und Zustimmung“, teilte die CNIL mit.
Im Jahr 2017 zwangen die schwedischen Behörden Google, mehrere Suchergebnisse aus ihrem Search Engine zu entfernen. Trotzdem wurden auch 2018 noch einige dieser Ergebnisse angezeigt. Es tauchten zudem noch weitere Probleme bei der Einhaltung der Anweisungen auf, weshalb die schwedische Datenschutzbehörde Datainspektionen im Jahr 2020 eine weitere Geldstrafe in Höhe von 7 Millionen Euro über Google verhängt hat.
4. Staatliche Organisationen machen keine Ausnahme
Auch staatliche Institutionen müssen die DSGVO einhalten. Nach Angeben des Enforcement Tracker musste im Mai 2019 das Direktorat für Soziale- und Kinderschutzeinrichtungen des Budapester Bezirks Ferencvaros 286 Euro an die ungarische nationale Behörde für Datenschutz und Informationsfreiheit, auch als NAIH bekannt, zahlen. In diesem Fall handelte es sich um menschliches Versagen. Ein Angestellter der Direktion hat unabsichtlich neun Briefe an falsche Empfänger verschickt, die persönliche Daten von 18 verschiedenen Subjekten enthielten.
Ebenfalls in Ungarn musste sogar eine politische Partei für einen Verstoß gegen die DSGVO bezahlen, weil sie ihre Datenbank mit den Einträgen von über 6 000 Individuen nicht ausreichend sichern konnte. Ein anonymer Hacker hatte eine Schwachstelle entlarvt, ist in das System eingebrochen und hat Zugriff zu besagter Datenbank erhalten. Diese Schwachstelle hat die politische Partei 34 375 Euro gekostet.
Einer der neueren Verstöße kommt aus einer dänischen Gemeinde namens Hørsholm. Einem Mitarbeiter der Stadtregierung wurde sein Laptop gestohlen – und mit ihm auch die persönlichen Daten von rund 1 600 Mitarbeitern der Stadt, inkl. sensibler Sozialversicherungsdaten. Im März 2020 verhängte die dänische Datenschutzbehörde über die Gemeinde eine Geldstrafe in Höhe von 7 000 Euro.
5. Auch Kleinunternehmen sollten sich kümmern
Die DSGVO gilt auch für Kleinunternehmen. Obwohl die Geldstrafen zu niedrigeren Beträgen tendieren, können sie eine spürbare Auswirkung auf den Umsatz und das Budget des Unternehmens haben. Wenn kleinere und mittelständische Unternehmen den Verhaltenskodex der DSGVO nicht einhalten, können sie mit Geldstrafen von bis zu 2 % ihres jährlichen Umsatzes oder 10 Millionen Euro rechnen, je nachdem, welcher Betrag höher ist. Und falls es sich um ein richtiges Datenleck handelt, wird diese Summe verdoppelt. Laut der GDPR Small Business Survey von 2019 haben Millionen von Unternehmen jedoch Schwierigkeiten, die Verordnung umzusetzen, indem sie an ihrer Komplexität scheitern.
Die Einhaltung der DSGVO kann kompliziert sein. Laut des Enforcement Tracker verhängte die tschechische Datenschutzbehörde eine Geldstrafe in Höhe von 1 165 Euro über eine Autovermietung, weil sie ein Auto über GPS verfolgt und den Mieter darüber nicht informiert hatte. Schließlich musste das Unternehmen eintausend Euro bezahlen. Für ein kleines Unternehmen kann das ein tiefsitzender Schlag sein.
Die Gewährleistung der Informationssicherheit ist nicht etwas, das Sie nur für das Vertrauen Ihrer Klienten tun sollten, sondern auch für sich selbst und Ihr Unternehmen. „Fangen Sie damit an, die Sicherheit als eine technologische Herausforderung zu betrachten und nicht bloß als eine bürokratische Belastung“, sagt IT-Experte Jaroslav Oster. „Und achten Sie auf die Schulung Ihrer Angestellten. Sie sind diejenigen, die Ihr Unternehmen gefährden können.“ Wenn die Kundenrechte nicht garantiert oder ihre persönlichen Daten gestohlen werden, macht die DSGVO keine Ausnahmen.