Sabine Fehringer ©DLA Piper
London / Wien. Mehr als 59.000 Meldungen wegen eines „Data Breach“ wurden im Europäischen Wirtschaftsraum seit Inkrafttreten der DSGVO am 25. Mai 2018 gemacht.
Ein Data Breach (sozusagen eine Datenpanne) beschreibt den Verlust der Kontrolle über die persönlichen Daten anderer – und dabei ist es grundsätzlich gleichgültig, ob der Auslöser ein Hackerangriff, abtrünnige Mitarbeiter, das Vergessen von Datenträgern in der U-Bahn oder ein schlichter technischer Defekt waren.
Wenn durch den Data Breach ein Risiko für die Betroffenen besteht, dann schreibt die DSGVO eine umgehende Meldung an die zuständige Datenschutzbehörde vor. Und wie aus einer aktuellen Umfrage der globalen Anwaltskanzlei DLA Piper hervorgeht, haben die europäischen Datenschutzbehörden damit einen ganze Menge zu tun. Demnach gab es die meisten bei den Datenschutzbehörden gemeldeten Data Breaches in:
- den Niederlanden (15.400),
- Deutschland (rund 12.600) und
- Großbritannien (rund 10.600).
Die wenigsten Data Breach Meldungen wurden in Liechtenstein, Island und Zypern mit jeweils 15, 25 und 35 Meldungen registriert, Österreich liegt mit 580 Meldungen im unteren Mittelfeld.
Dabei bedeutet eine hohe Zahl gemeldeter Data Breaches nicht unbedingt, dass ein Land deutlich unsicherer ist als ein anderes – die Zahl könnte auch als Indiz für den Grad an Bewusstseinsbildung in Sachen DSGVO angesehen werden.
Datenschutz-Grundverordnung schreibt Meldung vor
Die Wiener DLA Piper Partnerin und Datenschutzexpertin Sabine Fehringer sagt: „Die DSGVO bringt hinsichtlich des Compliance-Risikos für Organisationen erhebliche Veränderungen mit sich, da Datenschutzverletzungen mit umsatzabhängigen Geldbußen bestraft werden und mögliche Schadenersatzforderungen sowie Sammelklagen nach amerikanischem Stil nach sich ziehen können.“
Wie sich in den USA seit Inkrafttreten der verpflichtenden Gesetze zur Meldung von Datenschutzverstößen (untermauert durch harte Sanktionen für unterlassene Benachrichtigung) bereits gezeigt habe, treibe nun auch die DSGVO Data Breach Meldungen ins Unendliche. Fehringer: „Unser Bericht bestätigt dies mit mehr als 59.000 gemeldeten Data Breaches in Europa in den ersten 8 Monaten seit Inkrafttreten der DSGVO.“
Wie die Datenschutzbehörden reagieren
Dabei wurden bisher auch 91 Geldstrafen berichtet, von denen freilich keineswegs alle wegen Data Breaches verhängt wurden. Einige betrafen auch andere Verletzungen der DSGVO (in Österreich wurden etwa Strafen wegen illegaler Videoüberwachung bekannt, Anm.).
Die bisher höchste Strafe nach DSGVO wurde am 21. Jänner 2019 in Frankreich gegen Google verhängt – sie betrug 50 Millionen Euro. Die Entscheidung erfolgte jedoch aufgrund der Verarbeitung personenbezogener Daten zu Werbezwecken ohne ausreichende Zustimmung der Betroffenen.
Fehringer: „Die Regulierungsbehörden haben bereits damit begonnen, ihre Muskeln spielen zu lassen. Bei bislang 91 aufgrund der DSGVO verhängten Geldstrafen ist jene gegen Google sicher ein herausragender Meilenstein, da es sich nicht um eine Geldstrafe infolge eines Data Breaches handelt. Aufgrund des akut sehr hohen Schadensrisikos für Einzelpersonen rechnen wir damit, dass im kommenden Jahr noch viele weitere hohe Strafen verhängt werden.“
Der Europäische Wirtschaftsraum umfasst die 28 Mitgliedstaaten der Europäischen Union (derzeit einschließlich UK) plus Norwegen, Island und Liechtenstein. Weitere Jurisdiktionen wurden von der EU als sicher anerkannt (z.B. Japan) bzw. können IT-Dienstleister etwa im Rahmen des US-Safe Harbor-Abkommens persönliche Daten aus der EU verarbeiten.
Link: DLA Piper Data Breach Report February 2019
Link: DLA Piper
