Nehmen Unternehmen die DSGVO immer noch ernst?

Von Dan Raywood • 16. Mai 2023

Hat das Fehlen erheblicher Bußgelder zum fünften Jahrestag des Inkrafttretens der DSGVO dazu geführt, dass einige CEOs die DSGVO nicht so ernst genommen haben? Dan Raywood untersucht, ob die DSGVO dem Hype nicht gerecht wurde.

Im Vorfeld von Mai 2018 wurde von der DSGVO erwartet, dass dies die Durchsetzung der Compliance erheblich verändern würde. Aus den ersten Gesprächen über die Datenschutzreform ging hervor, dass der Grad der Durchsetzung größer sein würde als die maximale Geldstrafe von 500,000 Pfund, die das Information Commissioner's Office (ICO) seit 2011 zu verhängen begann.

Tatsächlich ist die Datenschutz festgelegt, dass „bei besonders schweren Verstößen der Bußgeldrahmen bis zu 20 Millionen Euro betragen kann, bei einem Unternehmen bis zu vier Prozent des weltweiten Gesamtumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.“ Auch für leichtere Verstöße sieht Artikel 83 Absatz 4 Bußgelder von bis zu 10 Millionen Euro bzw. bei einem Unternehmen von bis zu zwei Prozent des gesamten weltweiten Umsatzes des vorangegangenen Geschäftsjahres vor, je nachdem, welcher Betrag höher ist.

Ziemlich gruseliges Zeug, oder? Diese potenziellen Zahlen erregten im Vorfeld des Mai 2018 große Aufmerksamkeit. A Varonis-Umfrage aus dem Jahr 2017 ergab, dass 75 % der 500 befragten Entscheidungsträger der Meinung waren, dass die verhängten Bußgelder einige Organisationen lahmlegen könnten, und 44 % glaubten, dass Unternehmen die Preise erhöhen könnten, um sich vor Strafen zu schützen.

DSGVO-Bußgelder – nicht das, was erwartet wurde

Allerdings ist die höchste ICO-Bußgelder zeigen, dass Millionen-Pfund-Beträge nur wenige Male übertroffen wurden, wobei die 12.7 Millionen Pfund für TikTok ab April 2023 mittlerweile zu den höchsten verhängten Bußgeldern zählen.

Wurden wir enttäuscht, wenn wir damit gerechnet hatten? GDPR Bußgelder so streng zu sein und die Unternehmen sie zu fürchten? Immerhin wurde im Jahr 2019 die höchste Strafe gegen British Airways verhängt, mit einer Gesamtsumme von £ 183 Mio. ermittelt, wann die persönlichen Daten von 500,000 Kunden von ihrer Website und mobilen App gestohlen wurden. Doch etwas mehr als ein Jahr später und nach einer Berufung wurde dieser Betrag erreicht wurde reduziert auf 20 Millionen Pfund. Kein unbedeutender Betrag, aber einer, der der Wirkung des ICO als Regulierungsbehörde geschadet hätte.

Nehmen Unternehmen die DSGVO ernst, wenn man bedenkt, dass die erwarteten hohen Bußgelder ausgeblieben sind und die Bußgelder erheblich gesenkt wurden? Jonathan Armstrong, Partner bei Cordery, glaubt, dass CEOs die DSGVO aus diesen Gründen nicht ernst nehmen. „Ich denke, dass das Problem darin bestand, dass die DSGVO im Jahr 2018 in den Vordergrund gerückt wurde, als viele nicht qualifizierte Berater den Organisationen sagten, dass sich die Schleusen öffnen würden und ihnen hohe Geldstrafen drohen würden“, sagt er.

„Als dies im Jahr 2018 nicht geschah, entspannten sich die Führungskräfte in vielen Organisationen, dachten, das sei alles ein Hype und schenkten Datenschutzfragen keine Beachtung mehr. Ich weiß, dass einige Organisationen infolgedessen die Finanzierung von DSGVO-Projekten eingestellt haben.“

Armstrong sagt zur Einführung der DSGVO; Er hielt es für wahrscheinlich, dass es zunächst keine erheblichen Bußgelder geben würde, „teils, weil einige Datenschutzbehörden eine längere Zeit für die Umsetzung des neuen Gesetzes einräumten, und teils, weil große Ermittlungen einige Zeit in Anspruch nehmen.“ Kommen Sie dazu, dass die Datenschutzbehörde eine Geldstrafe verhängen kann.“

Was denken Experten wirklich über die Umsetzung der DSGVO?

Um einen Eindruck von den Auswirkungen der DSGVO zu bekommen, haben wir die National Association of Data Protection Officers befragt (NADPO) Mitgliedern für ihre Gedanken zu diesen Behauptungen. Auf die Frage, ob die DSGVO ihrer Meinung nach ihrem Hype vor 2018 gerecht geworden sei, antworteten 58 Prozent der 62 gesammelten Antworten, dass dies nicht der Fall sei.

NADPO Der Vorsitzende und Datenschutzbeauftragte von Mishcon de Reya, Jon Baines, stimmt zu, dass der Hype sicherlich das Profil des Datenschutzes geschärft hat, sagte aber, dass er in einigen Bereichen auch zu einer Überreaktion mit einigen „Rückschlägen“ geführt habe.

„Einige hochrangige Führungskräfte und Vorstandsmitglieder haben verständlicherweise die Frage gestellt, ob die Anstrengungen zur Einhaltung der Vorschriften notwendig waren (oder weiterhin notwendig sind“), sagt er. „Die beste Antwort auf diese Art von Herausforderung ist, dass gute Compliance fast immer mit guter Geschäftspraxis einhergeht – in den allermeisten Fällen sollte dies zu einer Win-Win-Situation führen.“

Baines merkt außerdem an, dass uns die aufeinanderfolgenden Kommissare zwar gesagt haben, dass es bei der Durchsetzung nicht nur um Geldstrafen geht, und dass sich der derzeitige Kommissar John Edwards besonders an „Abmahnungen“ orientiert hat, die eine Art „sanfte Durchsetzung“ darstellen, er aber der Meinung ist, dass viel mehr Nutzen darin bestehen könnte Dies sind formelle rechtliche Hinweise, die Organisationen dazu auffordern, bestimmte Schritte zu unternehmen (oder davon abzusehen), und bei denen die Nichteinhaltung möglicherweise eine Straftat darstellt.

„Ich denke, eine stärkere Nutzung dieser Befugnisse würde tendenziell die Aufmerksamkeit der Vorstandsetage erregen und gleichzeitig die Notwendigkeit strafbarer (oder wertloser) Geldstrafen vermeiden.“

Mit Blick auf die Zukunft haben wir die NADPO-Mitglieder gefragt, was das ICO tun muss, um die DSGVO zu der furchterregenden Aussicht zu machen, die sie einst war. Die NADPO-Mitglieder hinterließen eine Reihe von Kommentaren und sagten, das ICO müsse „seine Anwendung unterstützen und Verstöße durchsetzen“, „klare, konsistente, sektorspezifische Leitlinien“ anbieten und „Sanktionen gegen Organisationen verhängen, die seine Datenschutzfunktionen nicht ausreichend nutzen“.

Es gab auch Kommentare, in denen gefordert wurde, das ICO solle bei der Durchsetzung aktiver sein, da die Aufklärung der Unternehmen von entscheidender Bedeutung sei, „aber wenn die Durchsetzung langfristig größere Auswirkungen haben würde, mangelt es ihnen derzeit an Glaubwürdigkeit.“ In einem anderen Kommentar wurde gefordert, dass sich das ICO mit Beschwerden über alles „und nicht nur über Big-Data-Verstöße“ befassen und die Ausübung von Befugnissen durchsetzen solle (nicht unbedingt Bußgelder, wie z. B. die Unterbindung von Unternehmen, Daten überhaupt zu verarbeiten).

Auch wird schon seit längerem darüber nachgedacht, wohin das Geld bei Zahlung einer Geldbuße fließt. Eine Person forderte die Angabe, wie viel Geld eine Strafe gewesen wäre, beharrte dann aber darauf, dass die Organisation dieses Geld für die Behebung der Fehler ausgeben müsse, „damit von der Organisation nicht erwartet wird, dass sie Verbesserungen vornimmt und gleichzeitig weniger Ressourcen, sondern die Bedrohung erleidet.“ dass jemand hereinkommt und Ihnen „Ihr Geld wegnimmt“ (damit Sie es nicht so ausgeben können, wie Sie möchten).

Die Rolle des ICO

Kurz und jüngste Rede Beim IAPP Data Protection Intensive UK sagte Informationskommissar John Edwards, dass es für die Regulierungsbehörde von entscheidender Bedeutung sei, zu zeigen, dass die Nichteinhaltung des Datenschutzes nicht profitabel sei. „Der Missbrauch der Informationen Ihrer Kunden, um sich einen kommerziellen Vorteil gegenüber anderen zu verschaffen, wird von meinem Büro immer negativ bewertet, und wir werden versuchen, Geldstrafen zu verhängen, die den unrechtmäßigen Gewinnen entsprechen, die durch Nichteinhaltung erzielt werden.“

Die 2021-22 jährlicher Bericht vom ICO sagte, sein Fokus liege auf der Unterstützung von Organisationen bei der Erfüllung ihrer gesetzlichen Anforderungen. „Wir zielen mit unseren Regulierungsmaßnahmen auf Bereiche ab, in denen schlechte Datenschutzpraktiken die größten Auswirkungen auf die Menschen haben. Wir nutzen unsere Durchsetzungsbefugnisse nur dort, wo es erforderlich ist, und immer in verhältnismäßiger Weise.“

Wir haben das ICO um eine direkte Antwort gebeten, zum Zeitpunkt der Veröffentlichung jedoch noch keine Antwort erhalten.

Blick auf die nächsten 5 Jahre DSGVO

Armstrong sagt, dass es im letzten Jahr einen erheblichen Anstieg der DSGVO-Bußgelder gegeben habe, „so dass es jetzt mehr als 2000 Bußgelder gibt, wobei Bußgelder in Höhe von mehr als 2.6 Milliarden Euro verhängt werden.“ Er sagt auch, dass wir sehen, dass Datenschutzbehörden ihre Befugnisse kreativer nutzen – zum Beispiel mit der Aussetzung der Verarbeitung für Replika AI und ChatGPT.

„Es geht also nicht nur um die Geldbuße, und diese Aussetzungen können auch geschäftskritisch sein – Sie werden sehen, wie der CEO von OpenAI nach der Aussetzung alles fallen ließ, um mit der italienischen Datenschutzbehörde zu sprechen. Daher denke ich, dass die Schwierigkeit für viele Organisationen darin besteht, dass sie eher auf die Vergangenheit als auf die Gegenwart blicken.“

Die Einführung der DSGVO war langwierig und ermöglichte es den Unternehmen, sich an diese Datenschutzbestimmungen zu gewöhnen. Wenn CEOs dies ernst nehmen würden, wäre es vielleicht eine gute Sache, weniger Aufsehen erregende Schlagzeilen zu machen und sich stärker auf die Unterstützung und Unterstützung scheiternder Unternehmen zu konzentrieren.

Dan Raywood

Dan Raywood schreibt seit 2008 über IT-Sicherheit und ist ehemaliger Analyst in der Informationssicherheitspraxis bei 451 Research. Er hat auf Messen wie 44CON, SecuriTay, SteelCon, Irisscon und Infosecurity Europe Vorträge gehalten, außerdem für eine Reihe von Anbieter-Blogs geschrieben und in Webcasts präsentiert.

Lesen Sie mehr von Dan Raywood

Internet-Sicherheit 30 September 2025

Wird der Grok-Verstoß zu echten Sicherheitsbedenken führen? Banner

Wird der Grok-Datenleck Sicherheitsbedenken bei GenAI hervorrufen?

Ein kürzlicher Vorfall hat Bedenken hinsichtlich des Umgangs von GenAI-Tools mit Daten geweckt. Ist es an der Zeit, sicherzustellen, dass Ihre Daten nicht in deren L... landen?

Dan Raywood

Internet-Sicherheit 29. Mai 2025

io Cybersicherheit und Datenschutz NIST-Framework erhält Facelift-Banner

Cybersicherheit und Datenschutz: Das NIST-Framework erhält ein neues Gesicht

NIST hat kürzlich Pläne angekündigt, sein Datenschutz-Framework zu aktualisieren und es organischer und weniger statisch zu gestalten. Ist dies für die Praxis von Vorteil?

Dan Raywood

Internet-Sicherheit 21 Januar 2025

Zero-Day-Schwachstellen Wie können Sie sich auf das unerwartete Banner vorbereiten?

Zero-Day-Schwachstellen: Wie können Sie sich auf das Unerwartete vorbereiten?

Warnungen globaler Cybersicherheitsbehörden zeigten, dass Schwachstellen häufig als Zero-Day-Angriffe ausgenutzt werden. Angesichts einer solch unvorhersehbaren Situation...

Dan Raywood