Millionen-Strafen
23.09.2019, 09:05 Uhr
So teuer können Verstöße gegen die DSGVO werden
Seit 25. Mai 2018 ist die EU-DSGVO in Kraft. Unternehmen, die sich nicht an die darin formulierten Vorgaben richten, müssen mit hohen Strafen rechnen.
Die britische Datenschutzbehörde ICO verhängte jüngst die höchste Geldstrafe seit Einführung der EU-Datenschutz-Grundverordnung (DSGVO): Die Fluggesellschaft British Airways (BA) soll knapp 205 Millionen Euro Strafe zahlen, was 1,5 Prozent des BA-Umsatzes im vergangenen Geschäftsjahr entspricht. Grund: Ein Datenleck ermöglichte Unbekannten im Sommer 2018 den Zugriff auf Daten von rund 500.000 BA-Kunden. Aufgrund schwacher Schutzvorkehrungen der Airline wurden Kunden bei Flugbuchungen mitunter auf eine Website der Betrüger umgeleitet, wo persönliche Daten und Kreditkarteninfos samt Sicherheitscodes abgegriffen wurden.
Von der Hotelkette Marriott will die ICO ein Bußgeld in Höhe von rund 110 Millionen Euro. Wie der Konzern im November 2018 eingestand, wurden durch einen Hack die Daten von 339 Millionen Kunden kompromittiert. Die Täter erlangten bereits 2014 Zugriff auf die Systeme der Marriott-Tochterfirma Starwood und kamen so an Daten wie Namen und Adressen, in einigen Fällen auch an Pass- und Kreditkartennummern, teils sogar unverschlüsselt. Die ICO bemängelte, dass Marriott bei der Übernahme von Starwood keine ausreichenden Prüfungen vornahm und danach nicht genügend für IT-Sicherheit gesorgt habe. Marriott kann nun Stellung beziehen und hat bereits angekündigt, das Strafmaß anzufechten.
DSGVO: Nur geringe Strafen in Deutschland
Die Maßnahmen der ICO und die 50-Millionen-Euro-Strafe gegen Google durch die französische Aufsichtsbehörde im Januar 2019 zeigen, dass hierzulande in puncto Strafmaß bei DSGVO-Verstößen noch viel Luft nach oben ist. So fiel das Bußgeld für das unverschlüsselte Speichern von Hunderttausenden Passwörtern gegen die Chat-Community Knuddels mit 20.000 Euro verhältnismäßig gering aus. Und die Gesamtsumme der bisher verhängten (bekannten) Bußgelder in Deutschland beläuft sich für circa 100 Fälle auf rund 500.000 Euro. Mindernd wurde dabei berücksichtigt, dass die Unternehmen die Datenpanne selbst meldeten, mit den Behörden kooperierten und die Fehlerquellen sofort behoben – das sind denn auch die drei Kernlehren aus den Verfahren.
Die DSGVO enthält keinen Katalog an IT-Security-Maßnahmen, sondern wählt bewusst einen risikobasierten Ansatz. Unternehmen sollten deshalb selber prüfen, ob ihre IT-Security-Maßnahmen für die vom Unternehmen verarbeiteten Daten und Zwecke angemessen sind.
Es gilt die Regel: Je höher das Risiko für die Betroffenen, desto höher muss das Schutzniveau sein.