56 Millionen Euro Bußgeld - Ergebnisse des Jahres mit GDPR

Veröffentlichte Daten zum Gesamtbetrag der Geldbußen wegen Verstoßes gegen die Vorschriften.

/ Foto Bankenverband PD

Wer hat den Bußgeldbericht veröffentlicht?

Die allgemeine Datenschutzverordnung wird erst im Mai ein Jahr lang ausgeführt - die europäischen Regulierungsbehörden haben die Zwischenergebnisse jedoch bereits zusammengefasst. Im Februar 2019 veröffentlichte der Europäische Datenschutzrat (EDPB), das die Einhaltung der Verordnung überwacht, einen Bericht über die Ergebnisse der DSGVO.

Die ersten Bußgelder der DSGVO waren niedrig, da die Unternehmen nicht bereit waren, die Verordnung in Kraft zu setzen. Grundsätzlich zahlten Verstöße gegen die Vorschriften nicht mehr als mehrere hunderttausend Euro. Die Gesamtzahl der Strafen erwies sich jedoch als beeindruckend - fast 56 Millionen Euro. Im EDPB-Bericht lieferte er auch andere Informationen zur „Beziehung“ von IT-Unternehmen und ihren Kunden.

Was das Dokument sagt und wer die Geldstrafe bereits bezahlt hat

Während der Verordnung haben die europäischen Regulierungsbehörden etwa 206.000 Fälle von Verstößen gegen die Sicherheit personenbezogener Daten eröffnet. Fast die Hälfte von ihnen (94.622) - auf Beschwerden von Privatpersonen. EU-Bürger können eine Erklärung zu Verstößen bei der Verarbeitung und Speicherung ihrer personenbezogenen Daten abgeben und sich an die nationalen Regulierungsbehörden wenden. Anschließend wird der Fall in der Gerichtsbarkeit eines bestimmten Landes untersucht.

Die Hauptthemen, mit denen die Beschwerden der Europäer in Zusammenhang standen, sind die Verletzung der Rechte des PD-Subjekts und der Rechte der Verbraucher sowie die Weitergabe personenbezogener Daten.

Weitere 64.864 Fälle wurden eröffnet, nachdem die für den Vorfall verantwortlichen Unternehmen ein Datenleck gemeldet hatten. Es ist nicht genau bekannt, wie viele der Fälle mit Geldstrafen endeten, aber insgesamt zahlten die Verstöße 56 Millionen Euro. Laut Experten für Informationssicherheit muss der größte Teil dieses Betrags von Google bezahlt werden. Im Januar 2019 verhängte die französische Regulierungsbehörde CNIL gegen den IT-Riesen eine Geldstrafe von 50 Millionen Euro.

Der Prozess in diesem Fall dauerte ab dem ersten Tag der DSGVO - eine Beschwerde gegen das Unternehmen wurde vom österreichischen Datenschutzkämpfer Max Schrems eingereicht. Die Unzufriedenheit des Aktivisten wurde durch eine unzureichend genaue Formulierung der Zustimmung zur Verarbeitung personenbezogener Daten verursacht, die Benutzer beim Erstellen eines Kontos auf Android-Geräten akzeptieren.

Vor dem IT-Riesen waren die Bußgelder wegen Nichteinhaltung der DSGVO erheblich niedriger. Im September 2018 zahlte ein portugiesisches Krankenhaus 400.000 Euro für die Verwundbarkeit des Honiglagersystems. Aufzeichnungen und 20.000 € - eine deutsche Chat-Anwendung (Anmeldungen und Passwörter von Kunden wurden unverschlüsselt gespeichert).

Was Experten über Vorschriften sagen

Die Aufsichtsbehörden glauben, dass sich die DSGVO in neun Monaten als wirksam erwiesen hat. Ihnen zufolge hat die Verordnung dazu beigetragen, die Nutzer auf das Problem der Sicherheit ihrer eigenen Daten aufmerksam zu machen.

Experten heben auch einige der Mängel hervor, die im ersten Jahr der Verordnung festgestellt wurden. Das wichtigste davon ist das Fehlen eines einheitlichen Systems zur Bestimmung der Höhe der Geldbußen. Laut Anwälten führt das Fehlen allgemein anerkannter Regeln zu einer Vielzahl von Rechtsbehelfen. Beschwerden müssen von Datenschutzkommissionen bearbeitet werden, weshalb die Behörden gezwungen sind, weniger Zeit für die Ansprache von EU-Bürgern aufzuwenden.

Um dieses Problem zu lösen, entwickeln Regulierungsbehörden aus Großbritannien, Norwegen und den Niederlanden bereits Regeln zur Bestimmung der Höhe der Strafe. In dem Dokument werden Faktoren zusammengestellt, die sich auf die Höhe der Geldbuße auswirken: die Dauer des Vorfalls, die Geschwindigkeit der Reaktion des Unternehmens und die Anzahl der Opfer des Lecks.


/ Foto Bankenverband CC BY-ND

Was weiter

Experten glauben, dass es für IT-Unternehmen zu früh ist, sich zu entspannen. Höchstwahrscheinlich werden in Zukunft die Geldbußen wegen Nichteinhaltung der DSGVO steigen.

Der erste Grund sind häufige Datenlecks. Laut Statistiken aus den Niederlanden, in denen Verstöße gegen die PD-Speicherung vor der DSGVO gemeldet wurden, hat sich die Anzahl der Leckmeldungen im Jahr 2018 verdoppelt. Laut dem Datenschutzexperten Guy Bunker werden fast täglich neue Verstöße gegen die DSGVO bekannt, und daher werden die Aufsichtsbehörden in naher Zukunft die Unternehmen, die gegen das Gesetz verstoßen, verschärfen.

Der zweite Grund ist das Ende des „weichen“ Ansatzes. Im Jahr 2018 waren Geldbußen eine extreme Maßnahme - hauptsächlich die Aufsichtsbehörden wollten Unternehmen beim Schutz von Kundendaten unterstützen. In Europa sind jedoch bereits mehrere Fälle anhängig, die zu hohen Geldbußen für die DSGVO führen könnten.

Im September 2018 kam es bei British Airways zu einem massiven Datenleck. Aufgrund von Sicherheitslücken im Zahlungssystem der Fluggesellschaft erhielten Hacker 15 Tage lang Zugriff auf Kreditkarteninformationen ihrer Kunden. Schätzungen zufolge litten 400.000 Privatpersonen unter Hacking. Experten für Informationssicherheit erwarten, dass die Fluggesellschaft die erste Höchststrafe in Großbritannien zahlt - sie wird 20 Millionen Euro oder 4% des Jahresumsatzes des Unternehmens betragen (je nachdem, welcher Wert höher ist).

Ein weiterer Kandidat für eine große finanzielle Bestrafung ist Facebook. Die irische Datenschutzkommission hat zehn Fälle gegen den IT-Riesen wegen verschiedener Verstöße gegen die DSGVO eröffnet. Die größte davon ereignete sich im vergangenen September - eine Sicherheitslücke in der Infrastruktur des sozialen Netzwerks ermöglichte es Hackern, Token für die automatische Anmeldung am System zu erhalten. 50 Millionen Facebook-Nutzer waren von dem Hacking betroffen, 5 Millionen davon waren EU-Bürger. Laut ZDNet könnte allein dieses Datenleck ein Unternehmen Milliarden von Dollar kosten.

Infolgedessen lohnt es sich, darauf vorbereitet zu sein, dass die DSGVO 2019 ihre Stärke unter Beweis stellen wird und die Regulierungsbehörden aufhören werden, die Augen vor Verstößen zu verschließen. Höchstwahrscheinlich wird es in Zukunft nur noch bekanntere Fälle von Verstößen gegen die Regeln geben.

---

Beiträge aus dem ersten Corporate IaaS-Blog:

• Was Sie über PCI DSS wissen müssen: Ein Überblick über den Standard
• GDPR-Effekt: Wie sich die neue Verordnung auf das IT-Ökosystem ausgewirkt hat
• Regulierung der Arbeit mit personenbezogenen Daten in Russland und Europa

Worüber schreiben wir in unserem Telegrammkanal :

• Wer unterstützt Cloud-Projekte? Sprechen Sie über vier Open Source-Fonds
• So verwalten Sie Hardware in einem Rechenzentrum - zwei neue Technologien
• Warum ist es weniger wahrscheinlich, dass Festplatten kaputt gehen?