In den letzten Wochen haben zwei multinationale Unternehmen die Macht der Allgemeinen Datenschutzverordnung (GDPR) zu spüren bekommen, da die Aufsichtsbehörden in ganz Europa zeigen, dass sie es ernst meinen, wenn es darum geht, hohe Geldstrafen zu verhängen und harte Durchsetzungsmaßnahmen zu ergreifen.
British Airways wurde mit der bisher höchsten Geldstrafe belegt, die im Rahmen der im Mai 2018 in Kraft getretenen Datenschutzgrundverordnung verhängt wurde. Das Information Commissioner’s Office hat eine Geldstrafe in Höhe von 183 Millionen £ verhängt – das entspricht 1,5 % des Umsatzes der Fluggesellschaft im Jahr 2017. Die Fluggesellschaft hat zugegeben, dass Daten von ihrer Website und ihrer mobilen App im vergangenen August von Hackern gestohlen wurden. Nur einen Tag später wurde die US-amerikanische Hotelkette Marriott zu einer Geldstrafe von 99,2 Millionen Pfund verurteilt, weil Hacker die Daten von 339 Millionen Gästen gestohlen hatten. Dies hing damit zusammen, dass die Datenbank der Hotelkette Starwood, die Marriott 2016 gekauft hatte, nicht mit der erforderlichen Sorgfalt geprüft wurde. Sowohl British Airways als auch Marriott haben angekündigt, dass sie Berufung einlegen werden, aber es ist unbestritten, dass es zu Verstößen gekommen ist, und es scheint unwahrscheinlich, dass die Aufsichtsbehörde nachgeben wird. Die Datenschutzgrundverordnung hat auch zu einer Zunahme der Meldungen geführt, da viele Unternehmen offensichtlich besorgt darüber sind, welche Strafen ihnen drohen, wenn sie dies nicht tun. Eine Untersuchung der Anwaltskanzlei Pinsent Masons ergab, dass die ICO durchschnittlich 1.276 Meldungen pro Monat erhalten hat, während die Zahlen aus Frankreich, Italien und Spanien bei 307, 170 bzw. 94 lagen.
Ein deutlicher Anstieg
Die Regeln besagen, dass Unternehmen Verstöße gegen personenbezogene Daten spätestens 72 Stunden, nachdem sie davon erfahren haben, melden müssen. Wenn ein hohes Schadensrisiko besteht, sollten die Betroffenen direkt informiert werden. Ein separater Bericht des ICO zeigt, dass im Jahr seit der Einführung der DSGVO (25. Mai 2018 bis 1. Mai 2019) rund 14.000 Meldungen über Datenschutzverletzungen eingegangen sind, während im Vorjahr bis zum 31. März 2018 nur 3.300 Meldungen eingegangen waren – die Verordnung hat also einen fast fünffachen Anstieg bewirkt. Die GDPR verändert die Einstellung zu Datenschutzverletzungen, was zu einem höheren Sicherheitsniveau führen sollte. Anekdotisch heißt es, dass die Anbieter von Verschlüsselungssoftware einen Geschäftsboom erleben, da immer mehr Firmen ihre Sicherheit erhöhen wollen. Es ist jedoch anzumerken, dass es sich bei vielen der Meldungen um geringfügige Verstöße handelt – in der Tat sagte das ICO, dass über 82% der Meldungen seit Inkrafttreten der DSGVO keine Maßnahmen erforderten. Die GDPR wirkt sich nicht nur in Großbritannien aus, auch wenn das ICO besonders prominent ist – in den ersten neun Monaten nach Inkrafttreten der Verordnung haben Datenschutzbehörden in 11 Ländern Geldbußen in Höhe von insgesamt 56 Millionen Euro verhängt, wobei dies hauptsächlich auf die 50 Millionen Euro zurückzuführen ist, die die französische Datenschutzbehörde CNIL im Januar gegen Google verhängt hat. Europa handelt
Zu den weiteren Bußgeldern gehören die 220.000 €, die das polnische Amt für den Schutz personenbezogener Daten gegen das digitale Marketingunternehmen Bisnode verhängt hat. Es wurde behauptet, dass die betroffenen Personen nicht über ihre Datenschutzrechte aufgeklärt wurden – obwohl es eine Erklärung auf der Website des Unternehmens gab – und daher keine Möglichkeit hatten, der weiteren Verarbeitung ihrer Daten zu widersprechen oder Änderungen bzw. die Löschung der Daten zu verlangen. Ein kleines Bußgeld der belgischen Datenschutzbehörde in Höhe von nur 2.000 € zeigt, dass auch Einzelpersonen sich ihrer Verantwortung bewusst sein sollten, wenn sie Daten verwenden. In diesem Fall sammelte ein Bürgermeister E-Mail-Adressen
, um Wahlkampfmaterial zu versenden, hielt sich aber nicht an die Vorschriften. Obwohl es Argumente dafür gibt, dass die GDPR eine negative Kraft ist und die Innovation abwürgt, argumentieren die Befürworter, dass die Verordnung nicht nur notwendig ist, sondern auch die Standards weltweit anheben wird. In der Tat gibt es Berichte, wonach Länder wie die Vereinigten Arabischen Emirate, Kenia und vielleicht überraschenderweise auch China planen, neue Datenschutzgesetze zu erlassen. In dem Maße, in dem immer mehr namhafte Unternehmen unter die GDPR fallen, wird das Bewusstsein für die Verantwortung wachsen. Während effektive Technologie eine wichtige Rolle spielt, gibt es auch kulturelle Aspekte, wenn es um den richtigen Umgang mit Daten geht – für einige mag es eine steile Lernkurve sein, aber wir können auch erwarten, dass wir mehr Compliance und bessere Sicherheit auf breiter Front sehen werden.