Datenschutz: Die Kosten, wenn man es falsch macht

Veröffentlicht: 2022-10-12

Als die europäische Datenschutz-Grundverordnung (DSGVO) im Mai 2018 in Kraft trat, legte sie die Grundlage für eine neue Generation von Datenschutzgesetzen, die den Verbrauchern mehr Schutz bieten. Grundprinzipien wie eindeutige Einwilligung, Datenminimierung, Zweckbindung und Widerspruchsrecht hatten etablierte Best Practices für Daten effektiv ins Gesetz geschrieben.

Seitdem wurden weltweit Datenschutzgesetze im Stil der DSGVO verabschiedet. Der kalifornische CCPA brachte den Ball in den USA ins Rollen, viele andere Staaten folgten (Colorado, Connecticut, Utah und Virginia) oder sind dabei, zu folgen (Michigan, New Jersey, Ohio und Pennsylvania). Auf der ganzen Welt haben wir auch die Einführung von LGPD in Brasilien und PIPL in China gesehen, um nur zwei zu nennen.

Eine Herausforderung, mit der Datenverantwortliche und Datenverarbeiter jetzt konfrontiert sind, ist Mehrdeutigkeit. Das heißt, was bedeuten die wichtigsten Klauseln in diesen neuen Rechtsvorschriften eigentlich? Oft müssen sie vor Gericht geprüft werden, um ihre wahre Absicht zu klären und einen Präzedenzfall zu schaffen. Dies geschieht jetzt in Europa, und Praktiker anderswo können aus diesen Fällen lernen und die Ergebnisse anwenden, bevor sie in ihren eigenen Ländern damit in Konflikt geraten.

Europa geht hart gegen den Datenschutz vor

Die europäischen Regulierungsbehörden haben im Jahr 2022 definitiv die Zähne gebleckt.

Clearview AI, ein Gesichtserkennungsunternehmen, wurde von der italienischen Datenschutzbehörde mit einer Geldstrafe von 20 Millionen Euro und weiteren 9 Millionen Euro vom britischen Information Commissioner's Office (ICO) wegen illegaler Verarbeitung biometrischer und geolokalisierter personenbezogener Daten belegt.

Die irische Aufsichtsbehörde hat Meta (Facebook) eine Strafe von 17 Millionen Euro auferlegt, weil sie keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hat.

In Spanien wurde Google mit einer Geldstrafe von 10 Millionen Euro belegt, weil es Nutzer gezwungen hatte, die Übertragung von Anträgen auf Entfernung von Inhalten an Dritte zu akzeptieren.

In jüngster Zeit könnte TikTok aufgrund des Versäumnisses, die Privatsphäre von Kindern bei der Nutzung der Plattform zu schützen, nach einem möglichen Verstoß gegen die britischen Datenschutzgesetze mit einer Geldstrafe von 27 Millionen Pfund rechnen.

Ein gemeinsames Thema, das sich durch diese Fälle zieht, sind die Grundprinzipien „Rechtmäßigkeit, Fairness und Transparenz“, was bedeutet, dass Unternehmen gegenüber Einzelpersonen klarstellen müssen, wie ihre personenbezogenen Daten verarbeitet werden, und dass dafür eine angemessene Rechtsgrundlage geschaffen wurde.

Im Vereinigten Königreich haben sich die Durchsetzungsmaßnahmen im Jahr 2022 weitgehend auf das unbefugte Versenden von Marketingbotschaften konzentriert. Neue Datenschutzgesetze wie die DSGVO erfordern eine Rechtsgrundlage – typischerweise Einwilligung oder berechtigtes Interesse – für die Verarbeitung personenbezogener Daten, einschließlich Marketingaktivitäten.

Jüngste Fälle* zeigen, dass diese Anforderung immer noch nicht klar verstanden wird (oder bewusst ignoriert wird!):

  • Finance Giant Ltd ( 60.000 £ ): Anstiftung zum Versand von insgesamt 505.759 unaufgeforderten Direktmarketing-Nachrichten.
  • Bizfella Limited ( 30.000 £ ): Anstiftung zum Versand von 224.550 unerbetenen Direktmarketing-SMS-Nachrichten.
  • H&L Business Consulting Limited ( 80.000 £ ): Anstiftung zum Versand von 451.705 unaufgeforderten SMS-Nachrichten für Direktmarketingzwecke.

*Leser können die Volltexte aller Urteile auf der Website des ICO abrufen und sich auch für den Newsletter „Enforcement Actions“ des ICO anmelden.

Verbraucher wollen wissen, wie ihre Daten verwendet werden

Ein wichtiges Thema, das sich durch all diese Fälle (und andere) zieht, ist, dass sie ursprünglich durch Verbraucherbeschwerden ans Licht gebracht wurden. Verbraucher haben jetzt ein besseres Verständnis ihrer Datenschutzrechte und sind bereit, diese Rechte auszuüben, wenn sie glauben, dass ihre persönlichen Daten missbraucht werden.

Beim Umgang mit Verbraucherdaten ist Folgendes zu beachten:

  • Eine gültige Einwilligung erfordert, dass Einzelpersonen eine echte Wahl und Kontrolle erhalten.
  • Einzelpersonen sollten ausdrücklich darüber informiert werden, dass sie Marketingmitteilungen erhalten werden.
  • Die Einwilligung sollte von den anderen Datenschutzrichtlinien und/oder Geschäftsbedingungen des Absenders getrennt werden.
  • Eine indirekte Einwilligung kann nur gültig sein, wenn sie hinreichend klar und spezifisch ist.
  • Es muss eine einfache Möglichkeit für Einzelpersonen geben, die Verwendung ihrer Kontaktdaten abzulehnen.

Einige Unternehmen sind in andere Datenschutzfallen geraten

Nach einer Migration zu einem neuen CRM-System plante Reed Online versehentlich Marketing-E-Mails an Kunden, die zuvor abgemeldet/unterdrückt worden waren.

Tuckers Solicitors erlebte einen Ransomware-Angriff, der zu einer Verletzung des Schutzes personenbezogener Daten führte. Das ICO entschied, dass das Unterlassen geeigneter technischer und organisatorischer Maßnahmen das Unternehmen anfällig für Angriffe gemacht habe.

Das Kabinettsbüro der britischen Regierung hat die Postanschriften der Empfänger der Neujahrsauszeichnungen 2020 online veröffentlicht – ein Versäumnis, die unbefugte Offenlegung von Informationen von Personen zu verhindern.

Viele Datenschutzvorfälle machen keine Schlagzeilen

Während die hochkarätigen Verstöße Schlagzeilen machen, sind viele Vorfälle weitaus banaler.

Das ICO veröffentlicht einen vierteljährlichen Datensicherheitsbericht mit den neuesten „nicht-cyberischen“ (d. h. selbstverschuldeten) Problemen, darunter:

  • Daten per E-Mail an falschen Empfänger ( 22 Prozent )
  • Unbefugter Zugriff ( 14 Prozent )
  • Daten an falschen Empfänger gepostet oder gefaxt ( 13 Prozent )
  • Verlust/Diebstahl von Dokumenten oder Daten, die an unsicheren Orten zurückgelassen werden ( 8 Prozent )
  • Fehler beim Schwärzen ( 6 Prozent )

Diese Trends deuten größtenteils auf menschliches Versagen und/oder unzureichende Schulungen hin und stellen ein überzeugendes Argument für die Implementierung von „Privacy by Design“-Praktiken dar, bei denen robuste Prozesse die Möglichkeit der Nichteinhaltung minimieren.

Wir sehen immer noch nicht wirklich die Bußgelder von „vier Prozent des weltweiten Umsatzes“, die theoretisch erhoben werden können, obwohl das nicht heißen soll, dass dies nicht passieren wird. Die Geldbuße von British Airways (BA) kam – wie vorgeschlagen – nahe, bevor sie aufgrund einer Reihe mildernder Faktoren, einschließlich der Auswirkungen der Covid-19-Krise auf die Finanzen von BA, reduziert wurde. Obwohl kein Unternehmen mit einer Datenschutzverletzung umgehen möchte, gibt es mildernde Faktoren, die berücksichtigt werden, wenn es dazu kommt, einschließlich:

  • Ob es sich um einen erstmaligen Verstoß handelte
  • Schwere des Verstoßes
  • Egal ob absichtlich oder aus Versehen
  • Proaktive Meldung an die Aufsichtsbehörde
  • Ergriffene Maßnahmen zur Verringerung der Auswirkungen auf die betroffenen Personen

Die Aufsichtsbehörden werden im Allgemeinen nachsichtiger mit Unternehmen umgehen, die transparent machen, was schief gelaufen ist, bei der Unterstützung der Untersuchung kooperativ sind und schnell Maßnahmen ergreifen, die ein erneutes Auftreten verhindern.

Dies ist nur der Anfang…

Zu diesem Thema gibt es noch so viel zu sagen. Möchten Sie mehr über die Datenschutzgesetzgebung auf der ganzen Welt erfahren? Sehen Sie sich unseren Leitfaden zu globalen Datenschutzgesetzen und Compliance an .

Laden Sie den Leitfaden herunter