der Zustand der Online-Privatsphäre in Großbritannien tun wir genug Banner

Der Stand des Online-Datenschutzes in Großbritannien: Tun wir genug?

Die Datenschutz-Grundverordnung der EU (DSGVO) ist im Mai 2018 in Kraft getreten. Sie ist eine strenge Datenschutz- und Datensicherheitsverordnung, die strenge Anforderungen an Organisationen stellt, die personenbezogene Daten von EU-Bürgern erheben und verarbeiten, und bei Verstößen hohe Geldstrafen verhängt.   

Die Verordnung wurde entwickelt, um die persönlichen Daten von EU-Bürgern und -Einwohnern im Einklang mit technologischen Fortschritten wie gezielter Werbung und E-Mail-Marketing zu schützen. Trotz des Austritts des Vereinigten Königreichs aus der Europäischen Union behält das Vereinigte Königreich die DSGVO in seinem nationalen Recht als britische DSGVO bei.   

Doch während Unternehmen sich bemühen, ihre Daten zu schützen, lauern immer noch Bedrohungsakteure – und suchen nach Gelegenheiten, zuzuschlagen. Datendiebstähle nehmen zu, böswillige Akteure entwickeln immer raffiniertere Angriffsmethoden und Unternehmen stehen hinsichtlich Datenschutz und der Sicherung von Kundeninformationen mehr denn je unter Beobachtung.   

Unternehmen haben Mühe, die Sicherheit ihrer Daten zu gewährleisten  

Im ISMS.online Bericht zum Stand der Informationssicherheit 2024, das 502 britische Unternehmen aus einer Reihe von Branchen befragte, gab nur 1 % der Befragten an, dass ihr Unternehmen in den letzten 12 Monaten keine Geldstrafe für eine Datenschutzverletzung oder einen Verstoß gegen Datenschutzbestimmungen erhalten habe. 76 % der Organisationen gaben an, dass sie Geldstrafen zwischen 50,000 und 500,000 Pfund erhalten hätten, wobei über ein Drittel (35 %) Geldstrafen zwischen 100,000 und 250,000 Pfund erhielt.   

Beunruhigend ist, dass es sich bei diesen Verfehlungen um Probleme auf globaler Ebene handelt – nur 1 % der australischen Befragten und kein einziger US-Befragter gaben an, dass ihr Unternehmen keine Bußgelder zahlen musste.  

Die Auswirkungen von Datenschutzverletzungen auf Unternehmen können nicht unterschätzt werden. Die globale durchschnittliche Kosten einer Datenverletzung erreichte 2024 mit 4.88 Millionen Dollar einen historischen Höchststand, ein Anstieg von 10 % gegenüber 2023 und der höchste Gesamtwert aller Zeiten. Auch das Kundenvertrauen und der Ruf der Marke sind stark betroffen: eine Studie von ISACA ergab, dass 33 % der Verbraucher angeben, die Verbindung zu einem Unternehmen abgebrochen zu haben, bei dem ein Verstoß bekanntermaßen eingetreten ist, und 36 % glauben, dass Unternehmen Verstöße nicht ausreichend melden, selbst wenn dies gesetzlich vorgeschrieben ist.  

Verbraucher nehmen ihre Datenschutzrechte wahr  

Während Organisationen mit der Einhaltung von Vorschriften und Datenschutzverletzungen zu kämpfen haben, machen sich Verbraucher zunehmend Sorgen um den Schutz ihrer Daten und die Organisationen, denen sie ihre Informationen geben. Wie können sie also Verbraucher recherchieren den Ruf eines Unternehmens im Bereich Datenschutz 

  • 67 % der Verbraucher lesen Bewertungen anderer Verbraucher  
  • 39 % der Verbraucher lesen die Unternehmensrichtlinien sorgfältig durch  
  • 35 % der Verbraucher prüfen, ob es bei dem Unternehmen zu einem Datenschutzverstoß gekommen ist  
  • 31 % der Verbraucher lesen Diskussionen auf sozialen Websites (z. B. Reddit)  
  • 15 Prozent der Verbraucher erkundigen sich bei Verbänden.  

Über zwei Drittel (67 %) der britischen Verbraucher suchen heute nach sozialen Nachweisen, wie Bewertungen anderer Verbraucher auf vertrauenswürdigen Websites, bevor sie ihre Daten an ein Unternehmen weitergeben. Gleichzeitig geben 39 % an, dass sie die Unternehmensrichtlinien sorgfältig lesen. Das ist weit entfernt von den Zeiten, in denen Käufer die Geschäftsbedingungen einfach überflogen, auf „Akzeptieren“ klickten und weitergingen. 35 % geben an, dass sie prüfen, ob es bei einem Unternehmen, bei dem sie einkaufen möchten, zu einem Datenmissbrauch gekommen ist.  

Verbraucher im Vereinigten Königreich sind sich ihrer Datenschutzrechte bewusst und nehmen diese auch wahr.  

Diese sind die gängigsten Arten, wie Erwachsene in Großbritannien ihre Datenschutzrechte ausüben, laut Statista:  

  • 70 % forderten eine Organisation auf, ihnen keine Marketing-Informationen mehr auf elektronischem Wege zuzusenden.  
  • 31 % forderten eine Organisation auf, die Nutzung ihrer persönlichen Informationen oder Daten ganz einzustellen  
  • 31 % weigerten sich, einer Organisation ihre biometrischen Daten zur Verfügung zu stellen  
  • 29 % forderten eine Organisation auf, alle über sie gesammelten personenbezogenen Informationen oder Daten zu löschen.  

Wie Unternehmen ihre Datenschutzpraktiken verbessern können  

Die Einhaltung der DSGVO-Vorschriften durch Ihr Unternehmen ist gesetzlich vorgeschrieben und ein wichtiger Schritt zur Gewährleistung des Datenschutzes. Um jedoch das Vertrauen in die Organisation aufzubauen, ist es wichtig, über die in der Gesetzgebung festgelegten Grundanforderungen hinaus andere Möglichkeiten zum Schutz von Kundeninformationen in Betracht zu ziehen.   

Infografik: Entdecken Sie fünf Schritte zu besserem Datenschutz

Implementieren Sie ein Datenschutz-Informationsmanagementsystem mit ISO 27701   

ISO 27701 ist ein internationaler Standard für Datenschutz und eine Erweiterung des Informationssicherheitsstandards ISO 27001. Er bietet Ihrer Organisation einen Rahmen, um ein Datenschutz-Informationsmanagementsystem (PIMS) einzurichten, zu implementieren, aufrechtzuerhalten und kontinuierlich zu verbessern und eine robuste und kontinuierliche Einhaltung von Datenschutzgesetzen wie der DSGVO sicherzustellen. ISO 27701 ist als Add-on zu einer bestehenden ISO 27001-Zertifizierung erhältlich.  

Der Standard legt Anforderungen für den Aufbau eines umfassenden PIMS fest und leitet Datenverantwortliche und -verarbeiter beim Umgang mit personenbezogenen Daten (PII) an. Im Rahmen der ISO 27701-Implementierung werden Sie:  

  • Informieren Sie sich über die Datenschutzgesetze und -vorschriften, die für Ihr Unternehmen gelten  
  • Bestimmen Sie den organisatorischen Umfang Ihres PIMS  
  • Richten Sie einen Prozess zur Bewertung und Behandlung von Datenschutzrisiken ein   
  • Verwalten Sie die Beziehung zwischen Ihrer Informationssicherheit und dem PII-Schutz  
  • Erwägen und implementieren Sie Kontrollen zum Schutz der von Ihnen kontrollierten oder verarbeiteten personenbezogenen Daten, zum Beispiel:  
  • Anhang A.7.2.1 – Identifizierung und Dokumentation der spezifischen Zwecke, für die die personenbezogenen Daten verarbeitet werden, beispielsweise zur Bearbeitung und Auslieferung von Kundenaufträgen, zur Verwaltung von Zahlungen und zur Vermarktung von Dienstleistungen  
  • Anhang A.7.4.1 – Beschränkung der Erhebung personenbezogener Daten auf das für Ihre festgelegten Zwecke relevante, verhältnismäßige und notwendige Minimum  
  • Anhang A.7.4.1 – Bewahren Sie personenbezogene Daten nur so lange auf, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, zum Beispiel durch die Festlegung von Aufbewahrungsfristen für bestimmte Datensatztypen.  

Viele Ihrer PIMS-Kontrollen bauen auf den Kontrollen auf, die Sie in Ihrem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einrichten, wie z. B. Ihre Zugriffskontrollrichtlinie, Ihr Informationssicherungsprozess und Ihre Informationsklassifizierung. Auf diese Weise kann Ihr Unternehmen Informationssicherheits- und Datenschutzrisiken einheitlich angehen, das Risiko von Datenverletzungen verringern und Ihren Kunden und Interessenten Ihr Engagement für die Sicherheit demonstrieren.  

Etablieren Sie transparente Prozesse zur Datenverarbeitung  

Transparenz bei der Datenverarbeitung ist für die Einhaltung der DSGVO erforderlich, erhöht aber auch das Vertrauen der Verbraucher in die Sicherheitsmaßnahmen Ihres Unternehmens. Zu einer rechtmäßigen, fairen und transparenten Datenverarbeitung gehört:  

  • Identifizierung und Dokumentation der Zwecke, für die personenbezogene Daten verarbeitet werden, z. B. Bereitstellung von Produkten und Dienstleistungen, Bearbeitung und Lieferung von Bestellungen oder Marketing und Förderung von Dienstleistungen  
  • Identifizierung und Dokumentation der relevanten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, wie etwa die Einwilligung zu PII-Grundsätzen, die Erfüllung eines Vertrags oder die Einhaltung einer gesetzlichen Verpflichtung  
  • Beschränkung der Erhebung und Verarbeitung personenbezogener Daten auf das für die jeweilige Aufgabe erforderliche Minimum, um den Grundsätzen des Datenschutzes durch datenschutzfreundliche Voreinstellungen und des Datenschutzes durch Technikgestaltung zu entsprechen  
  • Implementierung von Prozessen zum Datensatzschutz, einschließlich Zugriffskontrolle, Klassifizierung von Informationen und festgelegten Aufbewahrungsfristen.   

Die oben genannten Praktiken sind auch für die erfolgreiche Einhaltung und Zertifizierung nach ISO 27701 erforderlich.  

Schulung und Sensibilisierung der Mitarbeiter  

Es ist wichtig, Ihre Mitarbeiter darin zu schulen, die von Ihnen gespeicherten persönlichen Daten zu schützen und verantwortungsvoll damit umzugehen. Erwägen Sie die Einführung eines Schulungs- und Sensibilisierungsprogramms für Mitarbeiter, das auf die Bedeutung der Sicherheit und Vertraulichkeit von Daten eingeht. Sie sollten Ihre Richtlinien zur Datenverarbeitung und -handhabung auch mit den entsprechenden Mitarbeitern teilen, z. B. mit Mitarbeitern, die im Rahmen ihrer täglichen Arbeit regelmäßig auf die von Ihnen gespeicherten personenbezogenen Daten zugreifen.   

Die Einarbeitung ist der ideale Zeitpunkt, um sicherzustellen, dass ein neuer Mitarbeiter mit Ihrem Ansatz zur Datensicherheit vertraut ist. Regelmäßige Auffrischungsschulungen tragen dazu bei, dass er seine Verantwortung im Hinblick auf den Datenschutz nicht aus den Augen verliert.   

Der Schutz der Privatsphäre ist die Verantwortung aller  

Verbraucher in Großbritannien wissen, welches Risiko die Weitergabe persönlicher Daten an Organisationen birgt, wenn ein Unternehmen Opfer eines Datenschutzverstoßes wird oder seine Daten einfach nicht richtig verarbeitet. Als Verbraucher können wir jedoch auch einfache Schritte unternehmen, um unsere persönlichen Daten zu schützen:   

  • Gute Passworthygiene, z. B. Passwörter mit 12 oder mehr Zeichen, Zeichenfolgen aus nicht zusammenhängenden Wörtern sowie Zahlen und Sonderzeichen  
  • Verwenden Sie nur sichere WLAN-Verbindungen und stellen Sie keine Verbindung zu öffentlichen WLANs mit eingeschränkten Sicherheitsmaßnahmen her.  
  • Wir stellen sicher, dass wir wissen, wie wir einen potenziellen Phishing-Versuch per E-Mail oder Textnachricht erkennen können.  
  • Melden Sie verdächtige Texte an Action Fraud, indem Sie die Nachricht an 7726 weiterleiten, damit sie untersucht werden kann   
  • Überprüfen, ob eine E-Mail-Adresse bei früheren Datenschutzverletzungen kompromittiert wurde, mithilfe von Habe ich bedrängtund ändern Sie die Passwörter entsprechend.  

Wenn Unternehmen strengere und robustere Datenschutzmaßnahmen einführen, wie sie in der ISO 27701 beschrieben sind, und Verbraucher Schritte unternehmen, um sich selbst und ihre Daten zu schützen, können wir einen einheitlichen Ansatz zum Datenschutz verfolgen, die Datensicherheit stärken und die Bemühungen böswilliger Akteure vereiteln. 

Letzte Änderung: 31. Januar 2025
Autor

Christie Rae

Christie ist Content-Marketing-Spezialistin bei ISMS.online. Mit über sieben Jahren Erfahrung möchte sie informative, ansprechende Inhalte schreiben und hat in einer Reihe von Branchen gearbeitet, darunter Cybersicherheit, Software as a Service, Technologie und Pharmazie.

Alle Beiträge von Christie Rae anzeigen

Zusammenhängende Posts

SOC 2 ist da! Stärken Sie Ihre Sicherheit und gewinnen Sie Kundenvertrauen mit unserer leistungsstarken Compliance-Lösung!