Letzten Monat erhielten zwei führende Unternehmen jeweils Rekordstrafen für Verstöße gegen Datenschutzverletzungen: 183 Millionen Pfund für British Airways und nur zwei Wochen später 5 Milliarden US-Dollar für Facebook. Die Regulierungsbehörden haben eine klare Botschaft an Organisationen auf der ganzen Welt gesendet: Wer die Daten seiner Kunden nicht mit größter Sorgfalt behandelt, muss mit harten Strafen rechnen, wenn die Dinge aus dem Ruder laufen. Wie kam es bei Facebook und BA zu dieser Entwicklung? Und welche Lehren können andere Unternehmen daraus ziehen?
British Airways: Erste große Geldbuße der DSGVO-Ära
Am 8. Juli kündigte das britische Information Commissioner’s Office (ICO) an, wegen einer Datenpanne, die durch einen ausgeklügelten Cyberangriff 2018 verursacht worden war, gegen British Airways eine Geldbuße in Höhe von 183 Millionen Pfund zu verhängen. Die Nutzer der Website von British Airways wurden auf eine betrügerische Website umgeleitet, auf der persönliche Daten wie Namen, Adressen, Website-Logins, Zahlungskarten und Reisebuchungsdetails abgegriffen wurden. Von der Datenschutzverletzung waren rund 500.000 Kunden betroffen.
Die gegen BA verhängte Sanktion war die erste, die seit dem Inkrafttreten der DSGVO im Juni 2018 veröffentlicht wurde. Seither haben Unternehmen die Pflicht, Datenschutzverletzungen ihrer Kunden- oder anderen personenbezogenen Daten von Personen der Europäischen Union an ihre nationalen Datenschutzbehörden zu melden. Die von der britischen Datenschutzaufsicht verhängte Strafe in Höhe von 183 Millionen Pfund war 367 Mal höher als die 500.000-Pfund-Strafe, die sie 2018 gegen Facebook wegen Verstößen im Zusammenhang mit Cambridge Analytica verhängt hatte. Beide entpuppten sich als Bruchteil der nur zwei Wochen später verkündeten Strafe für Facebook!
Facebook muss sich verantworten
In den letzten zwei Jahren wurde gegen Facebook von mehreren Aufsichtsbehörden wegen des Verlusts der Kontrolle über enorme Mengen personenbezogener Daten und des unsachgemäßen Umgangs mit seiner Kommunikation mit Nutzern ermittelt. Anfang 2018 kam der Datenskandal Facebook und Cambridge Analytica ans Licht. Journalisten enthüllten, dass die damals unbekannte britische politische Beratungsfirma die persönlichen Daten von Millionen Facebook-Profilen von Einzelpersonen ohne deren Zustimmung abgegriffen und ihnen dann gezielte politische Werbung geschickt hatte.
Im Oktober 2018 gab Facebook zu, dass Hacker Dutzende Millionen von Konten kompromittiert hatten, indem sie eine Reihe von Softwarefehlern ausgenutzt hatten, wodurch sie in die Lage versetzt wurden, sich als Benutzer auszugeben und ihre Profile zu übernehmen. Im darauffolgenden Monat räumte Facebook ein, dass seine Plattform in Myanmar missbraucht worden sei, um „Spaltung zu schüren und Gewalt anzustacheln“. Facebook berief sich dabei auf eine unabhängige Überprüfung der Menschenrechte, die das Unternehmen in Auftrag gegeben hatte.
Am 24. Juli verhängte die US-Handelskommission eine Geldstrafe in Höhe von 5 Milliarden US-Dollar gegen Facebook wegen Verstoßes gegen eine 8 Jahre alte Datenschutzvereinbarung. 5 Milliarden Dollar sind wahrscheinlich die höchste Geldstrafe, die jemals wegen Verletzung der Privatsphäre der Verbraucher verhängt wurde. Sie ist mehr als 8.200 Mal größer als die 500.000-Dollar-Strafe, die es von der britischen ICO im Oktober 2018 erhalten hat. Sie ist auch 22 Mal größer als die Geldstrafe der BA durch die ICO, die zwei Wochen zuvor angekündigt wurde.
Was bedeutet das alles?
Zunächst einmal müssen Unternehmen Datenschutzanforderungen viel ernster nehmen. Diese Ernsthaftigkeit muss von oben nach unten fließen, was bedeutet, dass Führungskräfte nicht nur für den Datenschutzansatz des Unternehmens verantwortlich sein sollten, sie müssen dabei auch voran gehen. Die Zusammenarbeit mit Aufsichtsbehörden muss eine umfassendere, von Führungskräften gestützte Geschäftsinitiative für verschiedene funktionale Gruppen innerhalb einer Organisation sein. Führungskräfte der Bereiche Sicherheit und Datenschutz können das nicht alleine bewältigen. Es muss ein multidisziplinäres Team involviert werden, um Anforderungen umzusetzen und Maßnahmen zur Risikominderung zu priorisieren.
Für den Beweis der Notwendigkeit dieses Ansatzes, schauen Sie nur in die Pressemitteilung der FTC, die ihre Entscheidung auf Facebook ankündigt: „Der heute bekannt gegebene Vergleichsauftrag erlegt auch dem Geschäftsbetrieb von Facebook beispiellose neue Beschränkungen auf und schafft mehrere Compliance-Kanäle. Der Beschluss verpflichtet Facebook, seinen Ansatz in Bezug auf den Datenschutz von der Vorstandsebene des Unternehmens nach unten umzustrukturieren und legt starke neue Mechanismen fest, um sicherzustellen, dass Facebook-Führungskräfte für die Entscheidungen, die sie über den Datenschutz treffen, rechenschaftspflichtig sind und dass diese Entscheidungen einer aussagekräftigen Kontrolle unterliegen.“
Zweitens müssen Unternehmen jetzt einen höheren Standard an Datenschutzanforderungen erfüllen. Biesher hat man beim Thema Compliance oft einfach nur an die Markierung von Kästchen gedacht. Viele kleine und mittlere Unternehmen haben gar nicht auf die Datenschutzanforderungen geachtet, in dem Glauben, sie seien zu klein, als dass die Regulierungsbehörden ein Interesse an ihnen haben könnten.
Die Zeiten haben sich jedoch geändert. Es geht nicht nur um die Einführung neuer Datenschutzgrundsätze wie der DSGVO. Wir sehen auch, dass die Anforderungen an die Datensicherheit von den Aufsichtsbehörden konsequent durchgesetzt werden. Einige Einrichtungen wie die FTC geben sogar an, dass sie ihre Audit-Prozesse verbessert haben, um die Wirksamkeit der Datenschutzprogramme von Unternehmen zu bewerten und Sicherheitslücken zu identifizieren.
Zu guter Letzt ist der Missbrauch des Datenzugriffs durch privilegierte Nutzer nach wie vor ein Problem. Im Skandal um Facebook und Cambridge Analytica missbrauchten der ehemalige CEO von Cambridge und ein App-Entwickler Facebook Nutzerdaten für politische Werbezwecke, ohne die Zustimmung der Nutzer einzuholen. Das mag bisher eine rechtliche Grauzone gewesen sein. Im Rahmen der DSGVO ist es nun glasklar, dass Unternehmen die Verbreitung personenbezogener Daten über das „Notwendige“ hinaus begrenzen müssen und Daten nur für bestimmte legitime Zwecke erheben können.
Es ist jedoch schwierig, privilegierte Benutzer daran zu hindern, vertrauliche oder persönlich identifizierbare Daten zu missbrauchen. Sie haben schließlich legitimen Datenzugriff. Daher wird die Fähigkeit zur Überwachung des Zugriffs auf welche geschäftskritischen Daten und wie und von wem sie genutzt werden eine entscheidende Rolle spielen. Die Möglichkeit, verdächtige Datenaktivitäten zu identifizieren und Vorfälle mit hohem Risiko zu priorisieren ist der Schlüssel dazu, Datenschutzverletzungen zu aufzuhalten.
Bei Imperva sehen wir, dass Kunden die erweiterten Datenrisikoanalysefunktionen innerhalb der Imperva-Datensicherheit ausnutzen, um fehlerhafte Verhaltensweisen aufzudecken und zu korrigieren, z. B. das Abrufen einer großen Menge von Datensätzen oder den Zugriff auf eine Datenbank über ein Dienstkonto, auf das nur eine Anwendung zugreifen sollte. Unsere Kunden wenden auch Datenmaskierung an, um ihre Angriffsfläche zu reduzieren, indem sie den Zugriff auf Daten nur auf Personen beschränken, die sie „wissen müssen“.
Angesichts der jüngsten Nachrichten und rekordverdächtigen Bußgelder, die an Unternehmen vergeben werden, die bestimmte Compliance- und Datenschutzgesetze nicht einhalten, ist es klarer denn je, dass Unternehmen besonders auf ihre Kundendaten achtgeben müssen. Es kann nicht gewürfelt werden, ob der Datenschutz und die Datenschutzanforderungen erfüllt werden sollen.
Laden Sie unser kostenloses E-Book herunter, um zu erfahren, wie Sie mögliche Bußgelder abwenden können, wenn Sie Ihre Daten nicht schützen: „Steps for Securing Data to Comply with the GDPR“. Das E-Book ist nur in englischer Sprache verfügbar.
Wenn Sie in der Finanzdienstleistungsbranche tätig sind, sind die Risiken und Strafen für das Versäumnis, Ihre Daten nicht zu schützen, noch höher. Unser kostenloses E-Book “Cybersecurity and Compliance Guide for Financial Services” ist eine gute Grundlage für CISOs und andere technische und geschäftliche Führungskräfte.