das ICO überprüft seinen Ansatz zu Geldbußen im öffentlichen Sektor. Was sollte es entscheiden? Banner

Das ICO überprüft seinen Ansatz zu Geldbußen im öffentlichen Sektor: Wie sollte es sich entscheiden?

Die Bußgelder für Datenschutzverletzungen steigen. Laut ISMS.online Bericht zum Stand der Informationssicherheit 2024, Die durchschnittliche Höhe der Geldbußen, die die Unternehmen im letzten Jahr gemeldet haben, ist im Vergleich zum Vorjahr um fast 4 % auf 258,000 £ gestiegen. Diese Studie berücksichtigt jedoch nur die Sektoren Finanzen, Gesundheitswesen, Fertigung, Einzelhandel und Technologie. Im öffentlichen Sektor hat die Datenschutzbehörde Information Commissioner's Office (ICO) zwei Jahre lang einen milderen Ansatz bei den Geldbußen erprobt.  

Eine Entscheidung darüber, ob die Durchsetzung fortgesetzt oder verschärft werden soll, steht im Herbst an. Die Erkenntnisse legen nahe, dass ein Umdenken notwendig ist. 

Zwei Jahre des Zurückhaltens

Eine Analyse der ICO-Strafen durch URM-Beratung unterstreicht den krassen Unterschied im Regulierungsansatz zwischen dem öffentlichen und dem privaten Sektor. Von den 29 Verwarnungen, die im letzten Jahr an Organisationen ausgesprochen wurden, richteten sich 20 gegen den öffentlichen Sektor. Alle 17 Verwarnungen richteten sich jedoch gegen private Unternehmen, wenn es um Geldbußen ging.  

Zu den bemerkenswertesten Beispielen dafür, wie zurückhaltend das ICO in den letzten zwei Jahren bei der Verhängung von Geldbußen im öffentlichen Sektor war, zählen: 

  • Der Police Service of Northern Ireland (PSNI) hat versehentlich vertrauliche Informationen über seine Beamten weitergegeben. Dies gilt als einer der schlimmsten Verstöße dieser Art, wenn man die sensiblen Aspekte der Polizei bedenkt. Obwohl das Leben der Beamten und ihrer Familien auf dem Spiel stand, eine mögliche Geldstrafe von 5.6 Mio. £ wurde auf 750,000 £ reduziert 
  • Der Tavistock and Portman NHS Foundation Trust, der versehentlich die E-Mail-Adressen von 1,781 Patienten der Gender Identity Clinic offenlegte, von denen einige öffentlich identifiziert wurden. Eine vermeintliche Geldstrafe wurde um über 900 % gekürzt auf nur £ 78,400 
  • Das Kabinettsbüro, die freigelegt die Namen und unredigierten Adressen von mehr als 1,000 Personen, die in der Neujahrs-Ehrenliste aufgeführt sind, darunter verschiedene Prominente. Eine Geldstrafe von 500,000 Pfund wurde auf 50,000 Pfund reduziert  
  • Das Verteidigungsministerium (MoD), das per E-Mail hochsensible Informationen über Menschen durchsickern ließ, die nach der Machtübernahme der Taliban in Afghanistan eine Umsiedlung nach Großbritannien anstrebten. Eine Geldstrafe von 1 Mio. Pfund wurde auf 350,000 £ gekürzt  
  • NHS Hochland, Die Organisation schickte 37 Personen, die wahrscheinlich HIV-Dienste in Anspruch nahmen, eine E-Mail und tauschte ihre Daten untereinander aus. Eine Geldstrafe von 35,000 Pfund wurde auf eine bloße Verwarnung reduziert.  
  • Die Wahlkommission, die Hackern nach einer Reihe grundlegender Sicherheitsmängel Zugriff auf Informationen über 40 Millionen Bürger gewährte. Sie wurde nicht einmal bestraft, sondern lediglich erhielt eine Rüge 

Warum läuft der ICO so einfach?

Laut ISMS.online-Daten wurden im vergangenen Jahr mehr britische Unternehmen mit Geldstrafen zwischen 250 und 500 Pfund (26 % gegenüber 21 % im Jahr 2022) und zwischen 100 und 250 Pfund (35 % gegenüber 18 %) belegt als in den 12 Monaten zuvor. Der öffentliche Sektor blieb jedoch ungeschoren. Und das trotz der sich verschlechternden Statistiken zu Datenschutzverletzungen in der Regierung. Laut der ICO-eigene Daten, analysiert von Anwaltskanzlei Mischon de Reyagab es zwischen 8000 und 2019 einen erstaunlichen Anstieg von 2023 % bei der Zahl der von Datenschutzverletzungen in der Zentralregierung betroffenen Personen. Unglaublicherweise waren allein im Jahr 195 2023 Millionen Menschen von Verletzungen im Zusammenhang mit „wirtschaftlichen oder finanziellen Daten“ betroffen, fast dreimal so viel wie die Bevölkerung des Vereinigten Königreichs. 

Warum also die Änderung der ICO-Politik? Für Datenschutzbeauftragter John Edwards läuft es darauf hinaus, dass Geldstrafen das Verhalten im privaten Sektor wahrscheinlich schneller ändern werden als im öffentlichen Sektor. Und auf die Tatsache, dass die Staatsfinanzen bereits jetzt gefährlich knapp sind. 

„Ich bin nicht davon überzeugt, dass hohe Geldstrafen allein im öffentlichen Sektor eine so wirksame Abschreckung darstellen. Sie treffen Aktionäre oder einzelne Direktoren nicht in der gleichen Weise wie im privaten Sektor, sondern werden direkt aus dem Budget für die Bereitstellung von Dienstleistungen finanziert“, schrieb er im Juni 2022. 

„Die Folgen einer Geldbuße im öffentlichen Sektor treffen oft die Opfer des Verstoßes, in Form von Budgetkürzungen für wichtige Dienste, nicht die Täter. Tatsächlich werden die von einem Verstoß betroffenen Personen doppelt bestraft.“ 

Doch die Logik, dass Bußgelder eine abschreckende Wirkung haben, ist ein wenig schwammig. Laut einer ISMS.online-Umfrage geben nur ein Fünftel (19 %) der befragten Unternehmen an, dass ihr Hauptmotiv für die Einhaltung der Vorschriften darin besteht, Strafen zu vermeiden. Viel mehr Unternehmen sprechen davon, wettbewerbsfähig zu bleiben (34 %), die Nachfrage der Kunden zu steigern (34 %) und Unternehmens- (30 %) und Kundeninformationen (29 %) zu schützen. Keiner dieser anderen Motivationsfaktoren ist für den öffentlichen Sektor besonders relevant, sodass Bußgelder einer der wenigen Hebel sind, die dem ICO zur Verfügung stehen. 

Die Verwirrung wird noch dadurch verstärkt, dass aus dem ICO selbst widersprüchliche Botschaften kommen. John Edwards war erst vor kurzem berichtet mit der Aussage, dass seine Politik, den öffentlichen Sektor nicht zu bestrafen, sondern stattdessen unverbindliche Verweise zu erteilen, „sehr effektiv war, insbesondere im öffentlichen Sektor, wo der Ruf mehr wert ist als das Geld“. Allerdings hat er seitdem zugelassen dass nur begrenzte Beweise vorliegen, um die Auswirkungen von Geldstrafen auf den Sektor überhaupt beurteilen zu können. 

„Ich würde erwarten, dass die bevorstehende Überprüfung einige Daten und andere Beweise enthält, beispielsweise in Bezug darauf, ob das ICO irgendwelche Beweise für eine Verbesserung der Compliance im öffentlichen Sektor als Ergebnis des öffentlichen Sektoransatzes gesehen hat“, sagt Jon Baines, leitender Datenschutzspezialist bei Mishcon de Reya, gegenüber ISMS.online.  

„Anekdotisch würde ich sagen, wir haben eher schlechtereCompliance. Ich bin weiterhin nicht davon überzeugt, dass es irgendeinen Grund gibt, den öffentlichen Sektor anders zu behandeln als jeden anderen Sektor. Ich befürchte, dass der „öffentliche Sektoransatz“ dazu führt, dass der Ermessensspielraum des ICO eingeschränkt wird, wirksame, verhältnismäßige und abschreckende Maßnahmen zu ergreifen.“ 

Raum für Verbesserung

Wie geht es also weiter? Baines erklärt, dass das ICO vor der DSGVO von einem für die Verarbeitung Verantwortlichen die Unterzeichnung einer „Verpflichtungserklärung“ zu Verbesserungen verlangte – wenn Mängel in der Organisation festgestellt wurden, eine Geldbuße oder Zwangsmaßnahmen jedoch nicht gerechtfertigt waren. 

„Ich sehe keinen Grund, warum das ICO diesen Ansatz in geeigneten Fällen nicht wieder aufnehmen könnte: Es hätte zur Folge, dass den leitenden Managern Verpflichtungen auferlegt würden, um sicherzustellen, dass ihre Versprechen eingehalten werden. Meiner Erfahrung nach waren diese ‚Verpflichtungen‘ sehr effektiv dabei, die Aufmerksamkeit dieser leitenden Manager auf die Wichtigkeit der Einhaltung des Datenschutzes zu lenken“, fügt er hinzu.  

„Ich würde der Regierung auch vorschlagen, zu überlegen, ob sie dem ICO per Gesetz die formelle Vollmacht erteilen möchte, solche Verpflichtungen zu fordern, mit der Möglichkeit, Sanktionen gegen Einzelpersonen – ebenso wie gegen Organisationen – zu verhängen, wenn diese Verpflichtungen gebrochen werden. Ich denke, dann stünden ihr eine Reihe von Befugnissen zur Verfügung, die einzeln oder in Kombination wirksam sein könnten.“ 

Inmitten dieser Verwirrung können Organisationen des öffentlichen Sektors ihr Schicksal am besten selbst in die Hand nehmen, indem sie die Risiken von Datenschutzverletzungen proaktiv mindern. Das ICO hat hilfreich hervorgehoben, was sowohl öffentliche als auch private Unternehmen in dieser Hinsicht tun sollten. Es hat bereits Maßnahmen gegen Organisationen ergriffen, die Folgendes versäumt haben: 

  • Setzen Sie für externe Verbindungen eine Multi-Faktor-Authentifizierung (MFA) ein. 
  • Systeme protokollieren und überwachen und reagieren, wenn es zu einer unerwarteten Exfiltration von Daten oder RDP-Verbindungen kommt 
  • Reagieren Sie auf Endpunktwarnungen, wie sie beispielsweise von Anti-Malware-Tools ausgegeben werden. 
  • Verwenden Sie für interne Konten – insbesondere für privilegierte Konten – sichere und eindeutige Passwörter. 
  • Patchen Sie bekannte Schwachstellen.
Autor

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Alle Beiträge von Phil Muncaster anzeigen

Zusammenhängende Posts

DORA ist da! Steigern Sie noch heute Ihre digitale Belastbarkeit mit unserer leistungsstarken neuen Lösung!