Die Anzahl der Datenlecks ist im letzten Jahr um mehr als 12 Prozent gestiegen. Seit Inkrafttreten der DSGVO wurden damit in Europa über 160.000 Datenlecks gemeldet.
Die Datenschutzgrundverordnung
Im Mai 2018 trat die DSGVO in Kraft. Seitdem hat sich die Rechtslage im Bereich Datenschutz in Europa grundlegend verändert: Die Anforderungen an Unternehmen sind gestiegen, die Regulierung wird konsequenter durchgesetzt, und der Datenverkehr wird genauer erfasst als zuvor. Die Messdaten belegen jedoch keine wachsende Sicherheit. Im Gegenteil: Seit der Einführung der DSGVO steigen die gemeldeten Datenlecks in Europa kontinuierlich.
Was ist überhaupt ein Datenleck?
Die DSGVO definiert den Begriff klar. Ein Datenleck liegt vor, wenn personenbezogene Daten ohne Einwilligung der Betroffenen an die Öffentlichkeit gelangen. Dabei ist kein externer Angriff nötig: Auch ein Servercrash, der Daten vernichtet oder zugänglich macht, gilt bereits als Datenleck.
Unternehmen sind verpflichtet, risikobehaftete Datenlecks bei der zuständigen Aufsichtsbehörde zu melden. Dazu zählt laut DSGVO jede Verletzung personenbezogener Daten nach Art. 4 Nr. 12 DSGVO – also der Verlust oder die unbefugte Offenlegung solcher Daten.
Seit Einführung der DSGVO: Immer mehr Datenlecks
Insgesamt wurden seit dem 25. Mai 2018 über 160.000 Datenschutzverstösse gemeldet. Das hat die Rechtsanwaltskanzlei DLA Piper ermittelt und im Rahmen einer Studie veröffentlicht. Geprüft wurden Verstösse in allen 28 EU-Mitgliedsstaaten sowie in Liechtenstein, Island und Norwegen.
In den ersten acht Monaten nach Inkrafttreten der DSGVO waren es täglich mehr als 247 Meldungen. Im darauffolgenden Jahr stieg der Wert auf 279 Meldungen pro Tag. Besonders niederländische Unternehmen verzeichneten hohe Fallzahlen – bis zu 40.000 in wenigen Monaten. Mit 147 gemeldeten Datenschutzvorfällen pro 100.000 Einwohner führen die Niederlande die Statistik an, gefolgt von Irland mit 132 und Dänemark mit 115. In Deutschland wurden im selben Zeitraum knapp 38.000 Datenlecks gemeldet.
Die verhängten Bussgelder summierten sich auf über 14 Millionen Euro – wobei die Durchsetzung damals noch in einem frühen Stadium war. Für 2020 rechneten die Aufsichtsbehörden mit weiteren Strafen in Millionenhöhe. Die deutschen Behörden kündigten an, Verstösse künftig konsequenter zu verfolgen. Den Anfang bei harten Sanktionen machte Grossbritannien.
Hohe Bussgelder für britische Unternehmen
In sieben Ländern wurden laut ersten Angaben noch keine Daten zu Datenlecks veröffentlicht; verhängte Bussgelder sind dort nicht bekannt. In Grossbritannien hingegen wurden mehrere Fälle publik und entsprechend geahndet.
Die britische Fluggesellschaft British Airways erhielt ein Bussgeld von 200 Millionen Euro – zum damaligen Zeitpunkt noch nicht rechtskräftig. Betroffen waren Daten von über 400.000 Personen, was die britische Datenschutzbehörde zur Herabstufung des Unternehmens veranlasste.
Die Hotelkette Marriott International musste voraussichtlich über 100 Millionen Euro zahlen, weil Daten von 500 Millionen Kunden nach aussen gelangt waren. Was anfangs noch mit einer Schonfrist abgefedert wurde, endete für viele Unternehmen mit harten Konsequenzen.
Schonfrist für Datenlecks abgelaufen
Kurz nach Einführung der DSGVO gab es für Unternehmen noch eine Schonfrist. Diese ist inzwischen abgelaufen. Wer seitdem wiederholt und systematisch Datenlecks verzeichnet, muss mit empfindlichen Bussgeldern rechnen. Google etwa wurde von der französischen Datenschutzbehörde zu einer Strafe von 50 Millionen Euro verurteilt. Im Extremfall sind bis zu vier Prozent des jährlichen Umsatzes möglich.
In Deutschland sind solche Bussgelder – trotz steigender Fallzahlen – noch selten. Wie eine Bitkom-Umfrage zeigt, wurde bislang nur ein kleiner Teil der Unternehmen tatsächlich abgestraft. Bürokratische Hürden spielen dabei eine Rolle: Jedes Bussgeld muss genau dokumentiert und katalogisiert werden. Dennoch haben die Aufsichtsbehörden angekündigt, strenger vorzugehen – insbesondere bei Datenlecks an Hochschulen.
Datenlecks an Hochschulen
Die IT-Systeme an Deutschlands Hochschulen weisen seit Jahren erhebliche Sicherheitslücken auf. Dadurch gelangten wiederholt persönliche Daten von Studierenden an die Öffentlichkeit – laut Schätzungen sind über 300.000 Studierende betroffen.
Zuletzt wurden Datenlücken an Universitäten in Bonn, Düsseldorf, Hildesheim und anderen Städten festgestellt, mit bis zu 600.000 Betroffenen. Dabei gerieten nicht nur aktuelle Daten ans Licht: Eine Prüfung der Aufsichtsbehörden ergab, dass teils sensible Informationen aus den Jahren 1991/92 veröffentlicht wurden. Auch Universitäten sind nach DSGVO verpflichtet, Sicherheitslecks der zuständigen Datenschutzbehörde zu melden. Das ist besonders heikel, weil grosse Universitäten ihre Daten oft über Jahrzehnte speichern – als Nachweis für Studien- und Versicherungszeiten. Was sinnvoll klingt, wird in Zeiten wachsender Datenlecks zum strukturellen Problem.