Bilanz Check-up 2020: Natio... / 4 Gesetzgebung

4.1 Ein Jahr EU-Datenschutzgrundverordnung

4.1.1 Praxis der Aufsichtsbehörden – Schlussfolgerungen für Unternehmen

Die EU-Datenschutzgrundverordnung (im Folgenden DSGVO) gilt seit Mai 2018 in der Europäischen Union (EU) sowie im Europäischen Wirtschaftsraum (EWR). Viele Unternehmen sind weiterhin mit der Umsetzung beschäftigt. Andere haben dies schon abgeschlossen und unterziehen nunmehr ihre Datenschutzprozesse und -maßnahmen einem kontinuierlichen Verbesserungs- und Anpassungsprozess (wesentliche Anforderungen der DSGVO können im Bilanz Check-up 2018, Kap. A.4.7, S. 111 ff. und Bilanz Check-up 2019, Kap. A.5.3, S. 117 ff. nachgelesen werden).

Mittlerweile haben auch die Aufsichtsbehörden ihr Tätigkeitsfeld deutlich erweitert. Einerseits fungieren sie nach der DSGVO als Beratungsstelle für Unternehmen, Vereine und Privatpersonen; andererseits machen sie nun vermehrt von ihren Durchsetzungsbefugnissen Gebrauch.

Im Januar 2019 sorgte die französische Aufsichtsbehörde (CNIL) für Aufsehen und verhängte gegen einen amerikanischen Suchmaschinenbetreiber ein Bußgeld in Höhe von 50 Mio. EUR wegen Verarbeitungen ohne Rechtsgrundlage sowie ungenügenden Informationen gegenüber den Nutzern.

Die britische Aufsicht (ICO) kündigte im Juli 2019 Bußgelder gegen einen globalen Hotelkonzern sowie eine britische Fluggesellschaft in Höhe von 99 Mio. GBP und 183 Mio. GBP an. Da die DSGVO Strafen auf 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes begrenzt, je nachdem was höher ist, wird deutlich, dass die Aufsicht durchaus von der Möglichkeit der Orientierung am Umsatz Gebrauch macht.

Was war geschehen? Die britische Fluggesellschaft war Ziel eines sog. "Man-in-the-Middle"-Cyberangriffs geworden. Webseitenbesucher und Kunden der Airline wurden auf eine falsche Website – die der Originalseite zum Verwechseln ähnlich sah – umgeleitet. Aufgrund der ungenügenden Sicherheitsvorkehrungen konnten die Angreifer dort neben personenbezogenen Daten wie Namen und Adressen auch Websitelogins, Zahlungs- und Reisedaten von knapp 500.000 Kunden abgreifen.

Im zweiten Fall ging es ebenfalls um eine Cyberattacke. Im Jahr 2016 erwarb ein globaler Hotelkonzern eine andere Hotelkette. Deren IT-Systeme wiesen eine unentdeckte IT-Schwachstelle auf, die seit 2014 für Hacker-Angriffe genutzt wurde. Die Untersuchung des ICO ergab, dass der Hotelkonzern beim Erwerb der Hotelgruppe keine ausreichende "cyber due diligence" durchgeführt hatte und wohl auch sonst mehr für die Sicherung seiner IT-Systeme hätte tun sollen. Durch die "eingekaufte" Schwachstelle sind eine Vielzahl von personenbezogenen Daten – weltweit insgesamt rund 339 Mio. Gästedaten – preisgegeben worden.

Elizabeth Denham, die Leiterin der britischen ICO, führt dazu in Reaktion auf ein SEC-Filing des Hotelkonzerns aus: "Die DSGVO macht deutlich, dass Unternehmen für die von ihnen gespeicherten personenbezogenen Daten rechenschaftspflichtig sind. Dies kann die Durchführung einer ordnungsgemäßen Due Diligence Überprüfung bei einem Unternehmenskauf und die Umsetzung geeigneter Maßnahmen umfassen, um nicht nur zu prüfen, welche personenbezogenen Daten von der Transaktion erfasst wurden, sondern auch, wie sie geschützt werden. Personenbezogene Daten haben einen realen Wert, so dass Unternehmen eine rechtliche Verpflichtung haben, ihre Sicherheit zu gewährleisten, so wie sie es mit jedem anderen Vermögensgegenstand tun würden. Sollte dies nicht geschehen, werden wir nicht zögern, bei Bedarf konsequent Maßnahmen … zu ergreifen." [Hinweis der Verf.: Der Brexit wird auch den Datenverkehr mit dem Vereinigten Königreich etwas komplexer gestalten. Obwohl das dann dort geltende lokale Datenschutzrecht die DSGVO vollumfänglich übernehmen wird.]

Im Gegensatz dazu sind die deutschen Aufsichtsbehörden bei der Höhe von Geldbußen zurückhaltender. Sie bewegen sich bisher maximal im oberen fünfstelligen Euro-Bereich, auch wenn die Anzahl der Kontrollverfahren und Bußgelder in Deutschland stetig zunimmt.

Diese Zurückhaltung bestätigte sich auch in einer europaweiten Studie ("Ein Jahr DSGVO") von EY Law mit folgenden weiteren Ergebnissen:

Sanktionen nach der DSGVO treffen Unternehmen aus jeder Branche und jeder Organisationsform. Insbesondere ungenügende (IT-)Sicherheit der Daten und unbefugte Verarbeitungen werden geahndet: So wurde in Baden-Württemberg ein Bußgeld von 20.000 EUR gegen eine Chat-Plattform nach einem Hackerangriff verhängt, da Nutzerdaten von ca. 1,8 Mio. Betroffenen unverschlüsselt gespeichert waren. In Portugal sanktionierte die dortige Aufsichtsbehörde ein Krankenhaus mit einem Bußgeld von 400.000 EUR, nachdem sämtliche Patientendaten in den digitalen Krankenhausakten für alle Ärzte ohne ein Berechtigungs- und Zugangskonzept abrufbar und zugänglich waren. Auch Vereine und Parteien waren betroffen: In Baden-Württemberg wurde ein Bußgeld von 2.500 EUR gegen einen früheren Juso-Vorsitzenden verhängt, weil er eine Mitgliederliste nutzte, um im Vorfeld eines Landesparteitages ein Stimmungsbild zu erstellen, obwohl diese nur für die Organisation der Veranstaltung vorgesehen war. Das Bayerische Landesamt für Datenschutzs...

Das ist nur ein Ausschnitt aus dem Produkt Finance Office Professional. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Finance Office Professional 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge