Studien vor Inkrafttreten der DSGVO am 25. Mai 2018 besagten, dass Unternehmen zu diesem Zeitpunkt nicht ausreichend auf die Verordnung vorbereitet sein würden. Einige Datenschutzexperten rechneten mit einem Worst-Case-Szenario. Doch hat sich das bewahrheitet?
Foto: mixmagic - shutterstock.com
Die von Unternehmen gemeldeten Verstöße und gegen sie verhängte Strafen können hier Aufschluss geben. Zur Erinnerung: Die DSGVO fordert unter anderem, dass Unternehmen den nationalen Datenschutzbehörden (Date Protection Authorities, DPAs) innerhalb von 72 Stunden, nachdem relevante Sicherheitsverletzungen erkannt worden sind, diese offenlegen. Sollten Betriebe die neuen Meldepflichten nicht erfüllen, drohen etwa Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Gesamtjahresumsatzes.
Mehr Datenschutzverletzungen
Das European Data Protection Board (EDPB) ist für die Durchsetzung der DSGVO zuständig. Es hat jedoch noch keine offiziellen Normen entwickelt, wie unabhängige EU-DPAs spezifische Statistiken und Zahlen in Bezug auf die DSGVO öffentlich melden sollen. Das macht eine Erhebung und Analyse von Daten über die Einhaltung der Richtlinien derzeit etwas schwierig.
Eine Reihe von europäischen DPAs haben in den letzten Monaten aber dennoch freiwillig bestätigt, dass die neue Verordnung zu einem erheblichen Anstieg der gemeldeten Datenschutzverletzungen geführt hat.
Die bisher zuverlässigsten Informationen über die Anzahl der Datenschutzverletzungen stammen von den veröffentlichten Übersichtsberichten (PDF) der EU-Kommission zur Umsetzung der DSGVO. Aus den Daten kann abgeleitet werden, dass die EU-DPAs seit Mai 2018 mehr als 95.000 Beschwerden von EU-Bürgern erhalten haben - fast 65.000 Meldungen ausschließlich zu Datenschutzverletzungen.
Die Anwaltskanzlei DLA Piper analysierte in ihrem GDPR Data Breach Survey (PDF) Datenschutzverletzungen, die von 23 der 28 EU-Mitgliedstaaten seit der Anwendbarkeit der DSGVO gemeldet wurden. Ende Januar 2019 berichtete auch die Europäische Kommission (PDF), dass die EU-Datenschutzbehörden insgesamt 41.502 Meldungen zu Datenschutzverletzungen erhalten hatten. Laut DLA Piper bildeten die Niederlande, Deutschland und das Großbritannien hierbei die Spitze. Mit rund 15.400, 12.600 und 10.600 führten diese Länder die Tabelle mit der Anzahl an Datenschutzverletzungen an.
Im Rahmen der DSGVO können Nicht-EU-Organisationen mit Hauptsitz in Europa den Mechanismus des "One-Stop-Shop" nutzen. Das bedeutet, dass bei "grenzüberschreitender Datenverarbeitung die sogenannte federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen beziehungsweise des Auftragsverarbeiters" ist. Unternehmen haben bei grenzüberschreitender Datenverarbeitung oder -transfer nur noch einen Ansprechpartner für die Belange in Bezug auf die DSGVO.
Da zahlreiche hochkarätige US-Technologieunternehmen wie Facebook, Microsoft, Twitter und Google sich für einen europäischen Hauptsitz in Irland entscheiden, wird es spannend, wie sich das auf den Bericht des irischen DPAs zu Datenschutzverletzungen auswirken wird.
Dennoch muss dabei bedacht werden, dass viele der derzeit untersuchten Fälle noch im Rahmen der alten Datenschutzgesetzte geschehen sind. Aktuell benötigen die meisten EU-DPAs zwölf bis fünfzehn Monate zur Untersuchung eines Datenverstoßes, was wiederum bedeutet, dass die Übergangszeit zu Fällen entsprechend der DSGVO nicht beendet ist. Die Daten sind also noch nicht ausschließlich auf die aktuelle Verordnung ausgelegt.
DSGVO-Strafen
Bei der Anzahl an verhängten Bußgeldern ist Deutschland mit aktuell 64 Fällen führend. Dazu gehören auch die beiden bisher höchsten Strafen: 80.000 Euro musste eine Organisation zahlen, die Gesundheitsdaten im Internet veröffentlicht hat, und 20.000 Euro wurden für eine Chat-Plattformwegen fehlender Hash-Speicher-Passwörter fällig. Laut DLA Piper wurden bisher 91 Geldbußen im Rahmen der DSGVO verhängt, jedoch beziehen sich nicht alle auf Verstöße gegen personenbezogene Daten.
Die bisher höchste Geldstrafe wurde von der französischen Datenschutzbehörde gegen Google ausgesprochen und beläuft sich auf 50 Millionen Euro. Der Grund hierfür war die Verarbeitung personenbezogener Daten durch Google ohne Zustimmung der Nutzer. Ein aktueller Fall bei einer britischen Fluggesellschaft könnte diesen Rekord brechen, sollte das von der britischen Datenschutzbehörde ICO veranschlagte Bußgeld von 183 Millionen Pfund endgültig verhängt werden. Bei einem Hackerangriff im September 2018 sind die Adress- und Kreditkartendaten von 380.000 Kunden der Airline kompromittiert worden.
Blick in die Zukunft
Die DSGVO ist noch jung und sowohl die Regulierungsbehörden als auch die Unternehmen können die Auswirkungen und Bedeutung noch nicht genau abschätzen. Die Datenschutzbehörden in der gesamten EU werden in Kürze Jahresberichte veröffentlichen, die ein umfassenderes und besseres Bild über den Grad der Einhaltung vermitteln sollen. Transparenz ist eine Notwendigkeit, die der EU helfen wird, das Bewusstsein für die DSGVO weiter zu schärfen. (jd)