Jüngste Äußerungen deuten darauf hin, dass es noch viel zu tun gibt, wenn es darum geht, die DSGVO in die Prozesse eines Unternehmens einzubinden. Alle Unternehmen gehen davon aus, dass die von ihnen erhobenen Daten und Informationen verantwortungsvoll genutzt werden sollten. Vor allem bei Finanzdienstleistungen werden Daten als zentrales Gut angesehen. Wenn es zu einem Verstoß kommt, können hohe Geldstrafen und negative Publicity die Folge sein. Außerdem kann das so wichtige Vertrauen der Verbraucher schnell verloren gehen, was auf lange Sicht noch mehr Schaden anrichten kann.

Viele Menschen sind sich inzwischen darüber im Klaren, dass ihre Daten sicher aufbewahrt werden müssen. Die Informationsbeauftragte Elizabeth Denham hat kürzlich in einem Blog veröffentlicht, dass:

„Einer der bestimmenden Trends des digitalen Zeitalters ist das wachsende Bewusstsein für die Rechte des Datenschutzes. Immer mehr Menschen werden sich der persönlichen Daten bewusst, die im Mittelpunkt so vieler Online-Dienste stehen, auf die wir zugreifen, und erkennen ihre eigenen Rechte in Bezug auf diese Daten.


In seiner jährlichen Umfrage hat das ICO untersucht, welche Aspekte des Datenschutzes die größten Bedenken hervorrufen, wobei die Cybersicherheit an erster Stelle steht, gefolgt von der Privatsphäre von Kindern und dem Datenaustausch. Frau Denham betonte, dass insgesamt noch viel zu tun sei, da viele Unternehmen sich noch nicht vollständig an die „Verantwortungsaspekte“ der Allgemeinen Datenschutzverordnung halten. Bereits im April hatte sie gesagt, dass diese Aspekte „Teil der Kultur und des Gefüges einer Organisation“ werden sollten, wobei Datenexperten über ein breites Spektrum an Fähigkeiten verfügen müssen, um ihre Kollegen sowohl zu schulen als auch zu inspirieren, einschließlich der Fähigkeit, dies zu tun:

  • Er ist in der Lage zu verstehen, wie der Datenschutz in die Vision eines Unternehmens passt und wo er zwingend notwendig, positiv und transformativ sein kann.
  • Coaching – Aufbau eines Netzwerks von Botschaftern innerhalb des Unternehmens, die verstehen, was getan werden muss.
  • Marketing – kreative Wege finden, um die Leute dazu zu bringen, von ihrer täglichen Arbeit aufzuschauen und zu erkennen, dass sie alle mitmachen müssen.

Die Botschaft lautet hier, dass Unternehmen die besten Talente einstellen und ihr Fachwissen mit robusten Systemen und Prozessen untermauern sollten. Viele Finanzdienstleister haben die Datenschutzgrundverordnung bereits gut in ihre Prozesse integriert, aber ein Versäumnis könnte sich als verheerend erweisen. Wie Frau Denham weiter ausführt:

„Unsere Durchsetzungsarbeit, bei der wir Bußgelder verhängen oder den Vorhang über versteckte Verarbeitungen lüften, kann kurzfristig oft das Vertrauen schwächen, da die Menschen von schlechten Datenpraktiken erfahren, die ihnen vorher nicht bewusst waren. Diese Theorie wird durch die Umfrage bestätigt, die zeigt, dass das Vertrauen abgenommen hat, während gleichzeitig das Bewusstsein der Menschen für ihre Datenschutzrechte gestiegen ist.


Zum Glück für die Finanzdienstleister – aber nicht für die betroffenen Unternehmen – stehen derzeit noch andere Unternehmen in der Kritik der ICO.
Im Juli wurde British Airways wegen eines Verstoßes gegen die Datenschutzgrundverordnung im August 2018 zu einer Geldstrafe in Höhe von 183,39 Millionen Pfund verurteilt. Etwa 500.000 BA-Kunden wurden während des Verstoßes kompromittiert, bei dem der Nutzerverkehr von der BA-Website auf eine gefälschte Website umgeleitet wurde. Zu den kompromittierten Daten gehörten Namen, E-Mail-Adressen und Zahlungskartendaten, die während des Buchungsvorgangs verwendet wurden. Die Strafe belief sich auf etwa 1,5 % des weltweiten Jahresumsatzes von BA im Jahr 2017 – die höchste GDPR-Strafe, die bisher von einem europäischen Unternehmen verhängt wurde.
Datenschutzbehörde der Union. Ebenfalls im Juli wurde die Hotelgruppe Marriott zu einer Geldstrafe in Höhe von 99,2 Millionen Pfund verurteilt, weil im Zusammenhang mit dem Reservierungsdatenbanksystem der von ihr übernommenen Kette Starwood ein Sicherheitsverstoß begangen wurde, der sich auf etwa sieben Millionen Datensätze britischer Personen auswirkte. Das ICO betonte, dass die Geldstrafen in beiden Fällen unter den GDPR-Schwellenwerten von 4 % des Jahresumsatzes oder 20 Millionen Euro lagen, da die Unternehmen kooperiert und Maßnahmen zur Verbesserung der Sicherheit ergriffen hatten. Aber das ICO zeigt auch, dass es eine Aufsichtsbehörde ist, die auf Durchsetzungsmaßnahmen vorbereitet ist. Ein riesiges Unternehmen, das sich dessen nur zu bewusst sein wird, ist Facebook, das sich mitten in den Vorbereitungen für die Einführung seiner neuen Kryptowährung Libra befindet. Das ICO hat erklärt, dass es angesichts der früheren Probleme von Facebook Bedenken hinsichtlich der Praktiken zur Weitergabe von Daten hat, und hat um Einzelheiten darüber gebeten, wie finanzielle Informationen sicher aufbewahrt werden. Ob groß oder klein, alle Organisationen müssen ihren Verpflichtungen zur Datensicherheit nachkommen – und angesichts der jüngsten Erfolgsbilanz der ICO ist es an der Zeit, diesem Thema höchste Priorität einzuräumen.