Das Jahr 2019 war weltweit kein gutes Jahr für den Datenschutz. Allein in den ersten neun Monaten wurden etwa 5.200 Schutzverletzungen gemeldet, eine Steigerung um etwa ein Drittel gegenüber 2018. Dabei wurden knapp acht Milliarden Datensätze offengelegt. Deren Zahl dürfte Schätzungen zufolge bis zum Jahresende auf 8,5 Milliarden gestiegen sein und sich gegenüber 2018 verdoppelt haben.
Häufigste Ursache der Schutzverletzungen waren laut dem Report „Cost of a Data Breach 2019“ von IBM Security und dem Ponemon Institute mit 51 Prozent böswillige Angriffe, 49 Prozent waren auf menschliches Versagen und auf Systemfehler zurückzuführen. Bei vielen der großen Datenlecks 2019 wurden schwache Schutzverfahren ausgenutzt, unzureichend gesicherte Datenbanken beispielsweise.
Steigende Kosten für Datenlecks
Auch die Kosten für Datenschutzverletzungen sind gestiegen, auf durchschnittlich 3,9 Millionen US-Dollar pro Datenleck. Mit durchschnittlich 8,2 Millionen US-Dollar pro Leck waren die Kosten in den USA am höchsten, während im Nahen Osten die durchschnittliche Zahl der pro Leck verlorenen Datensätze mit knapp 39.000 am höchsten war. Große Unternehmen haben dabei bessere Chancen, ein Datenleck zu überstehen als kleine; in Unternehmen mit mehr als 25.000 Mitarbeitern liegen die durchschnittlichen Kosten für eine Schutzverletzung bei 5,11 Millionen US-Dollar oder 204 Dollar pro Mitarbeiter, in Unternehmen mit 500 bis 1000 Mitarbeitern bei durchschnittlich 2,65 Millionen US-Dollar oder 3.533 Dollar pro Mitarbeiter.
Datenschutzgesetze erobern die Welt
Die neue Datenschutz-Gesetzgebung in der EU gab in vielen Ländern den Anstoß, im Hinblick auf den grenzüberschreitenden Datenverkehr eigene Regelungen zu überarbeiten oder eine entsprechende Gesetzgebung in Angriff zu nehmen. In den USA, wichtiger Handelspartner der EU mit jeweils bundesstaatlich geordneter und daher uneinheitlicher Datenschutzgesetzgebung, wurde Kalifornien zum Vorreiter strenger Regelungen und Auslöser für die Diskussion über eine US-weite Gesetzgebung. Daneben haben Staaten wie Brasilien und im asiatischen Raum Thailand, Singapur, China und Indien weitreichende Gesetze in Vorbereitung oder in Kraft gesetzt.
DSGVO-Bußgelder
Im ersten Jahr der Anwendung der DSGVO hatten sich die Datenschutzbehörden mit der Verhängung von Bußgeldern für Verstöße deutlich zurückgehalten. Inzwischen haben sie die Daumenschrauben angezogen: Im Juli 2019 verhängten die britische Datenschutzbehörde für British Airways ein Bußgeld in Höhe von 204 Millionen Euro für Sicherheitsmängel, in deren Folge Daten von 500 000 Kunden geleakt worden waren. Ähnliche Sicherheitsmängel kosteten Marriott International rund 110,4 Millionen Euro. Mangels transparenter Information über die Datennutzung und fehlender Einwilligung für die Verarbeitung der Daten zu Werbezwecken erhielt Google in Frankreich eine Geldbuße von 50 Millionen Euro. In Deutschland belegte die Datenschutzbehörde 1&1 mit einer Geldbuße von knapp zehn Millionen Euro, weil geeignete technische und organisatorische Maßnahmen zum Schutz der Verarbeitung personenbezogener Daten fehlten. Die Österreichische Post hatte individuelle Datenprofile einschließlich der Parteiaffinität gesammelt und vermarktet und dafür ein Bußgeld in Höhe von 18 Millionen erhalten.
Insgesamt wurden im Jahr 2019 in der EU Bußgelder in Höhe von rund 430 Millionen Euro verhängt. Die Schonfrist für Datenschutzverstöße ist vorbei, und die Behörden schrecken nicht davor zurück, ihre Befugnisse zur Durchsetzung der DSGVO in vollem Umfang zu nutzen.
