DSGVO-Sünder und ihre Strafzahlungen

Die EU-Regulierungsbehörde hat bereits zahlreiche Bussen im Zusammenhang mit der DSGVO verhängt. Nachfolgend ein paar von SailPoint und Precise Security mitgeteilte Beispiele:

Fall 1

Im Juli 2019 traf es British Airways mit einer Rekordstrafe von über 200 Millionen Euro. Die britische Behörde für Datenschutz, ICO, bestrafte das Flugunternehmen, nachdem Kriminelle die Kreditkarten Informationen von bis zu einer halben Million Kunden der Fluglinie auslesen konnte.

Fall 2

Eine Gebühr von über 110 Mio. Euro wurde ebenfalls von der ICO gegenüber dem amerikanischen Unternehmen Marriott International ausgesprochen. Grund war eine Sicherheitslücke im November 2018: Diese legte rund 339 Mio. Gast-Daten frei; davon betrafen 30 Mio. Gast-Daten Einwohner aus 31 europäischen Staaten und weitere sieben Mio. britische Bürger.

Fall 3

Auch Google steht nicht über dem Gesetz. Mit einer 50-Mio.-Strafe befindet sich Google auf dem dritten Platz der schlimmsten Datensünder 2019. Die Gebühren wurden dem US-Konzern von der französischen Datenschutz-Behörde CNIL aufgebrummt, da Google es versäumte, seinen Nutzern genügend Informationen über die Zustimmung zu den Data Richtlinien zu vermitteln. Zudem erlaubte der Tech-Riese seinen Kunden keine ausreichende Kontrolle über die Nutzung persönlicher Informationen.

Fall 4

Schliesslich kam es kürzlich zum höchsten bisher in Deutschland verhängten DSGVO-Bussgeld: Die Berliner Datenschutzbehörde strafte den Immobilienkonzern Deutsche Wohnen SE mit einer Rekordstrafe von 14,5 Millionen Euro ab. Der Grund war, dass das Unternehmen persönliche Informationen seiner Mieter abspeicherte, ohne zu prüfen, ob dies erforderlich oder rechtmässig ist. So sollen sensible Daten über die persönliche und finanzielle Situation über Jahre vorgehalten worden sein. Derzeit ist die Bussgeldentscheidung noch nicht rechtskräftig, die Organisation kann noch Einspruch einlegen.

Fall 5

Fintech-Anbieter müssen strengste Compliance-Anforderungen erfüllen, da sie im Rahmen ihrer Dienstleistungen schützenswerte personenbezogene Daten sowie Finanzdaten speichern, übertragen und verarbeiten. Entsprechend empfindlich sind die Strafen bei Verstössen gegen diese Anforderungen: Erst im Mai 2019 hat die Berliner Datenschutzbehörde ein Bußgeld von 50’000 Euro gegen eine App-Bank verhängt (vgl. hier).

Die Beispiele lassen sich beliebig erweitern. (Anmerkung der Redaktion: Auch bei DSGVO-Strafen gilt jeweils die Unschuldsvermutung, bis ein rechtskräftiger Gerichtsentscheid vorliegt).

Compliance rückt in den Fokus

Fakt ist, dass sich Unternehmen kontinuierlich mit dem Thema Compliance auseinandersetzen müssen, denn die Einhaltung einer solch komplexen Verordnung ist keine einmalige Sache, wie Volker Sommer von SailPoint ferner schreibt und ergänzt: «Hierzu zählen sowohl organisatorische als auch technische Massnahmen. Der erste und wichtigste Schritt, den Betriebe durchführen müssen, ist eine umfassende Sicherheitsüberprüfung und Risikobewertung durchzuführen und ihre Daten den Datenbesitzern in ihrer gesamten Umgebung zuzuordnen. Die erfolgreiche DSGVO-Compliance setzt voraus, dass jedes Unternehmen weiss, wer seine Benutzer sind, wo sich behördlich kontrollierte und sensible Daten befinden und wie diese existieren. Sobald Daten und Eigentümer erfasst sind, müssen Unternehmen die Kontrollen verstärken, die bestimmen, wer Zugriff auf bestimmte Informationen hat und wer nicht. Der Datenzugriff muss durch „Least Privilege“ gesteuert werden, sodass der Zugriff auf nur minimale Ressourcen erlaubt ist und der auf sensible Daten stark eingeschränkt ist. Diese Rechte müssen regelmässig überprüft werden.

Quellen: SailPoint, Precise Security, Kafka Kommunikation GmbH