Christian Horz - stock.adobe.com

Rekordstrafen im Rahmen der DSGVO: Ist dies erst der Anfang?

Die Zahl der gemeldeten Datenschutzvorfälle nimmt zu und Unternehmen haben offensichtlich nach wie vor Nachholbedarf bei der Umsetzung der Datenschutz-Grundverordnung.

Wie Mitte Juli 2019 bekannt wurde, sah sich die Fluggesellschaft British Airways im Rahmen von Verstößen gegen die europäische Datenschutz-Grundverordnung (DSGVO/GDPR) dazu gezwungen, ein Bußgeld in Höhe von 200 Millionen Euro zu zahlen.

Die hohe Strafe kommt nicht von ungefähr: Im Sommer 2018 konnten Kriminelle Zugangsdaten, Adressen, Namen, Reiseinformationen und Kreditkartendaten von Kunden der Fluglinie erbeuten. Dies geschah unter anderen dadurch, dass User der Firmen-Website bei der Online-Buchung eines Fluges auf eine Betrugsseite umgeleitet wurden. Somit erhielten die Angreifer Zugang zu sensiblen Informationen der Kunden. Dieser Vorfall sei auf schwerwiegende Sicherheitsverstöße der Airline zurückzuführen, wie das Information Commissioner Office (ICO, die britische Datenschutzbehörde) erklärte.

Die Bußgeldsumme entspricht etwa 1,5 Prozent des jährlichen Umsatzes der britischen Organisation – die im Rahmen der Verordnung vorgesehene Obergrenze von 4 Prozent des Jahresumsatzes wurde hier also noch nicht ausgeschöpft. Trotz dessen stellt die Strafe den höchsten Betrag dar, der jemals von ICO eingefordert wurde – Zum Vergleich: Facebook musste im Rahmen des Cambridge-Analytica-Skandals nur etwa 500.000 Pfund Bußgeld zahlen. Im Zuge der Strafe für British Airways wurde gleich die nächste Rekordsumme verkündet: Auch die Hotelgruppe Marriott muss etwa 100 Millionen Pfund Bußgeld aufwenden. Der Grund dieses Mal: Unbefugte waren Ende 2018 in die IT-Systeme des Unternehmens eingedrungen und konnten Daten von mehr als 300 Millionen Kunden entwenden. 

Neben der Höhe der bisher geforderten Bußgelder durch die Datenschutzbehörden der Länder stellt sich allgemein die Frage, wie es um die Zahl der gemeldeten Datenschutzverletzungen seit verbindlicher Einführung der Verordnung steht. Hierüber gibt das European Data Protection Board (EDPB) Aufschluss, welches für die Durchsetzung der DSGVO zuständig ist. Von Seiten des EDPB gibt es allerdings keine offiziellen Normen, inwieweit die nationalen Datenschutzbehörden (Data Protection Authorities, DPAs) Statistiken und Zahlen im Hinblick auf die DSGVO öffentlich melden sollen. Dies erschwert die Erhebung von Daten hinsichtlich Statistiken über die Einhaltung der Richtlinie.

Zahl der gemeldeten Datenschutzvorfälle steigt

Dennoch sagten eine Reihe von DPAs in den letzten Monaten freiwillig aus, dass es durch die DSGVO zu einem beträchtlichen Anstieg der gemeldeten Datenschutzverletzungen gekommen sei. Eine gute Übersicht von der Anzahl der bisherigen Data Breaches lässt sich den Übersichtsberichten der EU-Kommission zur Umsetzung der DSGVO entnehmen: Hier wird ersichtlich, dass die EU-Datenschutzbehörden seit Mai 2018 – dem Monat der verbindlichen Einführung – mehr als 95.000 Beschwerden von Bürgern der EU erhalten haben.

Davon bezogen sich fast 65.000 Meldungen ausschließlich auf Datenschutzverletzungen. Auf Deutschland bezogen sind besonders die Zahlen interessant, welche die ehemalige Bundesdatenschutzbeauftragte Andrea Voßhoff im Dezember 2018 bei ihrer letzten Rede im Bundestag vorlegte: Hier konnte ein deutlicher Anstieg der von Betrieben eigenständig gemeldeten Datenschutzpannen verzeichnet werden. Im ersten Monat nach Einführung der DSGVO waren es circa 1.000 Meldungen, bis Anfang September 2018 stieg diese Zahl auf ganze 6.000 Fälle.

Frau Voßhoff deutete dies als eindeutiges Signal, dass die DSGVO in Deutschland von Unternehmen gut angenommen werde. Zum Vergleich lag innerhalb der gesamten EU die Zahl der Selbstmeldungen Stand Ende September letzten Jahres bei circa 19.000. Diese Zahlen und auch die Strafen gegen namhafte Großkonzerne zeigen, dass die Datenschutz-Grundverordnung kein „zahnloser Tiger“ ist und Unternehmen diese in jedem Falle ernst nehmen müssen.

Die Frage, die sich besonders in dem Zusammenhang der Bußgelder für British Airways und Marriott ergibt, ist, ob diese vereinzelt sehr hohen Strafen auf einen starken Anstieg der Bußgeld-Höhen im Rahmen der DSGVO hindeuten. Auch wenn dies im ersten Moment naheliegend ist, gibt es hierfür bisher keine empirischen Beweise.

Allerdings erscheint es durchaus so, dass die Kunden der betroffenen Unternehmen sehr überrascht waren von den hohen Summen der Strafen. Doch wie sieht es innerhalb der Unternehmen aus? Grundsätzlich haben die meisten Organisationen mehr oder weniger einen festen Plan, was die Einhaltung der DSGVO betrifft. Allerdings haben viele dieser Unternehmen nun die Fähigkeiten hinsichtlich Audits ihrer Softwarelösungen als Mittel in den Blick genommen. Diese sollen ihnen helfen, die Einhaltung nachzuweisen und zu sehen, wo die Schwachstellen hinsichtlich ihrer Compliance-Bemühungen liegen.

In diesem Zusammenhang stellt sich die Frage, ob die Tatsache, dass das Augenmerk vermehrt hierauf gelegt wird, ein Schachzug ist, sich im Kontrast zu großen, namhaften Firmen in Bezug auf die Einhaltung der Verordnung zu beweisen. Eine andere Erklärung ist, dass andere Unternehmen in Kenntnis gesetzt werden sollen über die eigene Compliance. Eine weitere Möglichkeit ist, dass es künftig vermehrt Strafen mit ähnlichem Geldwert auch für weniger bekannte und kleinere Betriebe geben wird. Im Augenblick sieht es danach aus, als sei dieses Szenario das wahrscheinlichste, denn die Datenschutzbehörden der Länder beginnen derzeit damit, regelmäßig erhebliche Geldbußen zu verhängen.

Guy Bunker, Clearswift RUAG Cyber Security

„Verfolgen Unternehmen beim Thema Datenschutz einen proaktiven und ganzheitlichen Ansatz, müssen sie keine hohen Strafen im Zuge der DSGVO fürchten.“

Dr. Guy Bunker, Clearswift RUAG Cyber Security

Wie groß der Nachholbedarf in Sachen Compliance im betrieblichen Kontext in der DACH-Region noch immer ist, offenbart die im Februar dieses Jahres erschienene Studie IT Trends 2019 des Beratungs- und IT-Dienstleistungsunternehmens Capgemini.

Für die Erhebung wurden insgesamt 108 IT-Verantwortliche von Unternehmen in Deutschland, Österreich und der Schweiz befragt. Hier offenbarte sich, dass fast jedes zweite Unternehmen noch nicht DSGVO-compliant ist. Obwohl die Richtlinie zum Zeitpunkt der Veröffentlichung der Studie bereits vor zehn Monaten in Kraft getreten war, gaben lediglich 53 Prozent der Befragten an, die Vorgaben komplett umgesetzt zu haben.

Etwas mehr als ein Viertel der Teilnehmer gab an, noch an der Compliance zu arbeiten und sogar jedes zehnte Unternehmen war über die Phase der Planung noch nicht hinausgekommen. Diese Erkenntnisse decken sich mit der im Mai 2018, direkt nach Wirksamwerden der DSGVO, veröffentlichten Capgemini-Studie Seizing the GDPR Advantage, in der eines von vier Unternehmen einräumte, bis zum Jahresende noch keine vollkommene Konformität gewährleisten zu können.

Unternehmen haben noch Nachholbedarf

Dass diese Zahlen im europäischen Vergleich nicht besser aussehen, bestätigen die Ergebnisse einer Befragung der European Business Awards im Auftrag der Wirtschaftsprüfungsgesellschaft RSM, laut derer 30 Prozent der europäischen Organisationen bei Veröffentlichung der Erhebung im Juli 2019 noch nicht mit der Verordnung konform waren. 

Die Mehrheit der befragten Unternehmen waren europäische mittelständische Unternehmen mit einem Umsatz von weniger als 100 Millionen Euro. Die Stichprobe umfasste Unternehmen aus insgesamt 34 Ländern.

Die Tatsache, dass bei den Befragten ein hoher Nachholbedarf herrscht, ließ sich laut der Studie nicht auf einen einzelnen Umstand zurückführen, sondern liegt hauptsächlich an drei Hauptproblemen. Mehr als ein Drittel (38 Prozent) der nicht-konformen Betriebe verstehen noch nicht, wann die Zustimmung zur Aufbewahrung und Verarbeitung der Daten erforderlich ist, während 35 Prozent der Firmen sich unsicher sind, wie sie die Verwendung personenbezogener Daten durch ihre Mitarbeiter überwachen sollen. 34 Prozent der befragten Unternehmen fehlt ein Verständnis darüber, welche Verfahren nötig sind, um sicherzugehen, dass die Verträge von Drittanbietern compliant sind.

Trotz dieser alarmierenden Zahlen förderte die Studie auch eine positive Erkenntnis zutage: So gaben 73 Prozent der befragten Betriebe an, dass die DSGVO sie dazu ermutigt habe, die Art und Weise der Verarbeitung von Kundendaten zu verbessern. Auch gaben 62 Prozent der Betriebe an, ihre Investitionen im Bereich Cybersicherheit erhöht zu haben.

Diese Zahlen verdeutlichen, dass die DSGVO für Betriebe vor allem als Chance zu verstehen ist, die es ihnen ermöglicht, sich einen besseren Überblick über den Verbleib und die Weiterverarbeitung ihrer Daten zu verschaffen. Schließlich ist es für Unternehmen – unabhängig von der DSGVO – wichtig zu verstehen, welche Daten in die Firma ein- und wieder hinausfließen. Nur so lassen sich Datenschutzverletzungen und damit verbundene Image-Schäden sowie empfindliche Bußgelder langfristig verhindern. Verfolgen Unternehmen beim Thema Datenschutz einen proaktiven und ganzheitlichen Ansatz, müssen sie keine hohen Strafen im Zuge der DSGVO fürchten.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.

Nächste Schritte

Gratis-eBook: Die DSGVO in der Praxis umsetzen

DSGVO: Das sollten Unternehmen über Bußgelder und Sanktionen wissen

EU-DSGVO: Was sind eigentlich personenbezogene Daten?

Erfahren Sie mehr über IT-Sicherheits-Management