Jüngste Äußerungen deuten darauf hin, dass es noch viel zu tun gibt, wenn es darum geht, die DSGVO in die Prozesse eines Unternehmens einzubinden.

Alle Unternehmen gehen davon aus, dass die von ihnen erhobenen Daten und Informationen verantwortungsvoll genutzt werden sollten. Insbesondere bei den Finanzdienstleistungen werden Daten als zentrales Gut angesehen.

Wenn es zu einem Verstoß kommt, können hohe Geldstrafen und negative Publicity die Folge sein. Außerdem kann das so wichtige Vertrauen der Verbraucher schnell schwinden, was auf lange Sicht noch mehr Schaden anrichten kann.

Viele Menschen sind sich inzwischen darüber im Klaren, dass ihre Daten sicher aufbewahrt werden müssen, wie die Informationsbeauftragte Elizabeth Denham kürzlich in einem Blog veröffentlichte:

"Einer der bestimmenden Trends des digitalen Zeitalters ist das wachsende Bewusstsein für die Rechte des Datenschutzes. Immer mehr Menschen werden sich der persönlichen Daten bewusst, die im Mittelpunkt so vieler Online-Dienste stehen, auf die wir zugreifen, und erkennen ihre eigenen Rechte in Bezug auf diese Daten.

In seiner jährlichen Umfrage hat das ICO untersucht, welche Aspekte des Datenschutzes am meisten Anlass zur Sorge geben, wobei die Cybersicherheit an erster Stelle steht, gefolgt von der Privatsphäre von Kindern und dem Datenaustausch.

Frau Denham betonte, dass insgesamt noch viel zu tun sei, da viele Unternehmen die "Verantwortlichkeitsaspekte" der allgemeinen Datenschutzverordnung noch nicht vollständig umgesetzt hätten. Bereits im April sagte sie, dass diese Aspekte "Teil der Kultur und des Gefüges einer Organisation" werden sollten, wobei Datenexperten ein breites Spektrum an Fähigkeiten benötigen, um ihre Kollegen sowohl zu schulen als auch zu inspirieren, einschließlich ihrer Fähigkeiten:

  • Er ist in der Lage zu verstehen, wie der Datenschutz in die Vision einer Organisation passt und wo er zwingend notwendig, positiv und transformativ sein kann.
  •  Coaching - Aufbau eines Netzes von Botschaftern innerhalb des Unternehmens, die wissen, was zu tun ist.
  •  Marketing - Suche nach kreativen Wegen, um die Menschen dazu zu bringen, von ihren alltäglichen Aufgaben aufzuschauen und zu erkennen, dass sie sich alle einbringen müssen.

Die Botschaft lautet hier, dass die Unternehmen die besten Talente einstellen und ihr Fachwissen mit robusten Systemen und Verfahren untermauern müssen. Viele Finanzdienstleistungsunternehmen haben die Datenschutzgrundverordnung bereits gut in ihre Prozesse integriert, aber ein Versäumnis könnte sich als verheerend erweisen. Wie Frau Denham weiter ausführt:

"Unsere Durchsetzungsarbeit, bei der wir Bußgelder verhängen oder den Vorhang über versteckte Verarbeitungen lüften, kann kurzfristig oft zu einem Vertrauensverlust führen, da die Menschen von mangelhaften Datenpraktiken erfahren, von denen sie vorher nichts wussten. Diese Theorie wird durch die Umfrage bestätigt, die zeigt, dass das Vertrauen abnimmt, während das Bewusstsein der Menschen für ihre Datenschutzrechte zunimmt."

Zum Glück für die Finanzdienstleister - aber nicht für die betroffenen Unternehmen - stehen andere derzeit in der Kritik der ICO. Im Juli wurde British Airways wegen eines Verstoßes gegen die Datenschutz-Grundverordnung im August 2018 zu einer Geldstrafe in Höhe von 183,39 Mio. GBP verurteilt. Etwa 500.000 BA-Kunden wurden bei dem Verstoß kompromittiert, bei dem der Nutzerverkehr von der BA-Website auf eine gefälschte Website umgeleitet wurde. Zu den kompromittierten Daten gehörten Namen, E-Mail-Adressen und Zahlungskartendaten, die während des Buchungsvorgangs verwendet wurden. Die Strafe belief sich auf etwa 1,5% des weltweiten Jahresumsatzes von BA im Jahr 2017 - die höchste bisher von einem europäischen Unternehmen verhängte GDPR-Strafe.
Datenschutzbehörde der Union. Ebenfalls im Juli wurde die Hotelgruppe Marriott zu einer Geldstrafe in Höhe von 99,2 Millionen Pfund verurteilt, weil im Zusammenhang mit dem Reservierungsdatenbanksystem der von ihr übernommenen Kette Starwood ein Verstoß begangen wurde, der sich auf rund sieben Millionen Datensätze britischer Personen auswirkte.

Das ICO betonte, dass die Geldbußen in beiden Fällen unter den in der Datenschutz-Grundverordnung festgelegten Schwellenwerten von 4% des Jahresumsatzes oder 20 Millionen Euro lagen, da die Unternehmen kooperiert und Maßnahmen zur Verbesserung der Sicherheit ergriffen hatten. Das ICO zeigt aber auch, dass es eine Aufsichtsbehörde ist, die für Durchsetzungsmaßnahmen gerüstet ist. Ein riesiges Unternehmen, das sich dessen nur zu bewusst sein wird, ist Facebook, das sich gerade auf die Einführung seiner neuen Kryptowährung Libra vorbereitet. Das ICO hat erklärt, dass es angesichts der früheren Probleme von Facebook Bedenken hinsichtlich der Praktiken zur gemeinsamen Nutzung von Daten hat, und hat um Einzelheiten darüber gebeten, wie finanzielle Informationen sicher aufbewahrt werden sollen.

Ob groß oder klein, alle Organisationen müssen ihre Datensicherheitsverpflichtungen erfüllen - und angesichts der jüngsten Erfolgsbilanz der ICO ist es an der Zeit, dieser Aufgabe höchste Priorität einzuräumen.