Die Anzahl der Datenlecks ist im letzten Jahr um mehr als 12 Prozent gestiegen. Seit Inkrafttreten der DSGVO wurden damit in Europa über 160.00 Datenlecks gemeldet.
Die Datenschutzgrundverordnung
Im Mai 2018 wurde die DSGVO (Datenschutzgrundverordnung) verabschiedet. Seitdem hat sich die Gesetzeslage im Bereich Datenschutz in Europa grundlegend verändert. Die Anforderungen an Unternehmen im Hinblick auf den Datenschutz sind gestiegen und die Regulierung wird seitdem noch strenger verfolgt. Auch die Messung des Datenverkehrs erfolgt genauer als früher. Die Messdaten sprechen jedoch nicht für eine zunehmende Sicherheit. Denn seit der Einführung der DSGVO gibt es in Europa immer mehr Datenlecks.
Was ist überhaupt ein Datenleck?
Was ein Datenleck ist, hat die SGVO genau definiert. So handelt es sich laut DSGVO um ein Datenleck, wenn personenbezogene Daten an die Öffentlichkeit gelangen, ohne dass die betroffenen Personen hierzu ihr Einverständnis gegeben haben. Ein Datenleck kann dabei bereits vorliegen, wenn Daten aufgrund eines Servercrashs oder eines anderen Zwischenfalls ohne äussere Eingriffe von beispielsweise Hackern, vernichtet werden.
Unternehmen sind dazu verpflichtet, Datenlecks bei der Aufsichtsbehörde zu melden, insofern diese mit Risiken verbunden sind. Dazu gehört laut SGVO eine Verletzung personenbezogener Daten nach Art. 4 Nr. 12 DSGVO, also der Verlust oder die Offenlegung von personenbezogenen Daten.
Seit Einführung der DSGVO: Immer mehr Datenlecks
Insgesamt wurden seit Einführung der DSGVO am 25. Mai 2018 über 160.000 Datenschutz-Verstösse gemeldet. Das hat die Rechtsanwaltskanzlei DLA Piper ermittelt und im Rahmen einer Studie öffentlich gemacht. Geprüft wurden Verstösse in allen 28 EU-Mitgliedsstaaten sowie Liechtenstein, Island und Norwegen.
Mehr als 247 Meldungen waren es in den ersten acht Monaten nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO). Im vergangenen Jahr stiegt der Wert sogar noch auf – auf 279 Meldungen pro Tag, die bei den Behörden gemeldet wurden. Vor allem niederländische Unternehmen notierten in den letzten vergangenen Jahren viele Datenlecks – bis zu 40.000 in nur wenigen Monaten, wie die Studie von DLA Piper aufzeigt. Ebenfalls in den Niederlanden wurden mit je 147 die meisten Datenschutzvorfälle pro 100.000 Einwohner gemeldet. Dahinter kommen Irland mit 132 und Dänemark mit immerhin 115 gemeldeten Fällen. In Deutschland wurden im selben Zeitraum knapp 38.000 Datenlecks gemeldet.
Die verhängten Bussgelder belaufen sich auf insgesamt mehr als 14 Millionen Euro. Die Durchsetzung der Bussgelder befindet sich allerdings noch in einem Anfangsstadium und könnte in den nächsten Monaten und Jahren die Bussgelder noch steigen. Für das Jahr 2020 erwarten die Verantwortlichen weitere Geldstrafen in Millionenhöhe. Die Aufsichtsbehörde in Deutschland will in den kommenden Monaten noch genauer prüfen, ob Unternehmen Datenlecks verursachen und diese Verstösse gegen das DSGVO entsprechend ahnden. Grossbritannien hat mit hohen Bussgeldern den Anfang gemacht.
Hohe Bussgelder für britische Unternehmen
In sieben Nationen wurden laut ersten Angaben noch keine Zahlen zu möglichen Datenlecks veröffentlicht. Etwaige Bussgelder, die verhängt wurden, sind daher nicht bekannt. In Grossbritannien dagegen, wurden in den vergangenen Monaten mehrere Fälle bekannt, die von den Aufsichtsbehörden entsprechend geahndet wurden.
Die britische Fluggesellschaft British Airways etwa, wurde für Verstösse gegen die DSGVO mit einem Bussgeld von 200 Millionen Euro bedacht, welches allerdings nicht rechtskräftig ist. Damals wurden Daten von über 400.000 Betroffenen öffentlich und die britische Datenschutzbehörde musste den Status der Fluggesellschaft herunterstufen.
Die britische Hotelkette Marriott International muss vermutlich über 100 Millionen Euro zahlen, weil sie Daten von 500 Millionen Kunden an die Öffentlichkeit getragen hat. Gab es zu Anfang noch eine Schonfrist für entsprechende Verstösse, wollen die Aufsichtsbehörden nun härter durchgreifen.
Schonfrist für Datenlecks abgelaufen
Kurz nach Einführung der DSGVO gab es für Unternehmen noch eine Schonfrist. Diese ist inzwischen jedoch abgelaufen. Unternehmen, die seitdem wiederholt Datenlecks verzeichnen, müssen mit hohen Bussgeldern rechnen, insofern die Datenlecks systematisch auftreten. So wurde Google von der französischen Datenschutzbehörde jüngst zu einer Strafe von 50 Millionen Euro verurteilt. Im Extremfall sind bis zu vier Prozent des jährlichen Umsatzes möglich.
In Deutschland sind entsprechende Bussgelder – trotz der steigenden Datenlecks – jedoch selten. Wie eine Bitkom-Umfrage aus dem vergangenen Jahr zeigt, wurde nur ein kleiner Teil der Unternehmen bislang für Datenlecks abgestraft. Ursächlich sind vor allem bürokratische Hürden, denn jedes Bussgeld muss genau dokumentiert und katalogisiert werden. Dennoch wollen die Aufsichtsbehörden nun strenger durchgreifen. Vor allem Datenlecks an Hochschulen sollen künftig strenger geahndet werden.
Datenlecks an Hochschulen
Die IT-Systeme an Deutschlands Hochschulen weisen bereits seit einigen Jahren grosse Sicherheitslücken auf. Dadurch gelangten in der Vergangenheit immer wieder persönliche Daten von Studierenden an die Öffentlichkeit. Die Zahl der Betroffenen beläuft sich laut Schätzungen auf über 300.000 Studenten.
Zuletzt wurden auch Datenlücken an Universitäten in Bonn, Düsseldorf, Hildesheim und anderen Grossstädten festgestellt – mit bis zu 600.000 Betroffenen. Nicht nur aktuelle Daten gerieten dabei an die Öffentlichkeit. Wie eine Prüfung der Aufsichtsbehörden ergab, wurden sensible Informationen veröffentlicht, die teilweise bis in die Jahre 1991/92 zurückreichen. Auch Universitäten und andere Bildungseinrichtungen sind laut DSGVO dazu verpflichtet, die jeweils zuständigen Datenschutzbehörden über das Sicherheitsleck zu informieren. Problematisch ist dies vor allem aufgrund der langen Sicherungszeit der Universitätsdaten. Grosse Universitäten speichern ihre Daten oftmals über viele Jahrzehnte, um einen Nachweis für Studien- und Versicherungszeiten zu haben. Was zunächst sinnvoll ist, kann sich in Zeiten wachsender Datenlecks als grosses Problem herausstellen.