GDPR-Bußgelder und wie man sie mit Runecast vermeidet

Die Allgemeine Datenschutzverordnung (DSGVO) ist ein EU-Datenschutzgesetz, das am 25. Mai 2018 in Kraft getreten ist. Sie ersetzt die EU-Datenschutzrichtlinie aus dem Jahr 1995 und stärkt die EU-Datenschutzvorschriften, indem sie Einzelpersonen mehr Kontrolle über ihre personenbezogenen Daten gibt und neue Rechte für Einzelpersonen festlegt. Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, unabhängig davon, ob das Unternehmen seinen Sitz innerhalb oder außerhalb der EU hat.

Sie sieht erhebliche Geldbußen für Unternehmen vor, die gegen ihre Bestimmungen verstoßen, darunter bis zu 4 % ihres weltweiten Jahresumsatzes oder 20 Mio. EUR (je nachdem, welcher Betrag höher ist) für Verstöße gegen bestimmte Bestimmungen der DSGVO. Diese Geldbußen können auf bis zu 8 % des weltweiten Jahresumsatzes oder 40 Mio. EUR (je nachdem, welcher Betrag höher ist) erhöht werden, wenn das Unternehmen vorsätzlich oder leichtfertig gegen die Vorschriften verstoßen hat. Seit ihrer Einführung im Jahr 2018 haben die GDPR-Behörden mehr als 900 Bußgelder verhängt, und es handelt sich dabei durchweg um hohe Beträge.

Analysieren wir 4 der dreißig größten GDPR-Bußgelder, was sie verursacht haben und wie sie hätten vermieden werden können.

Marriott - 20,4 Millionen Euro (23,8 Millionen Dollar)

Marriott Hotels & Resorts ist die Marke von Marriott International für Hotels und Resorts mit vollem Serviceangebot weltweit. Was ist also passiert? Marriot übernahm die Starwood Group im September 2016, und ein früherer Hack wurde 2018 entdeckt. Ursprünglich wurde Marriot mit einer Geldstrafe in Höhe von 123 Millionen US-Dollar belegt, die jedoch nach dem Plan von Marriot, die Risiken des Vorfalls zu mindern, reduziert wurde.

Im Jahr 2014 wurde auf einem Gerät im Starwood-System ein Code installiert, der es dem Urheber ermöglichte, aus der Ferne auf den Inhalt dieses Geräts zuzugreifen und ihn zu bearbeiten. Der Angreifer erhielt uneingeschränkten Zugriff auf das Gerät und andere Geräte im Netzwerk. Weitere vom Angreifer installierte Tools, die Anmeldedaten sammelten, ermöglichten den böswilligen Akteuren den Zugriff auf die Datenbank, in der die Reservierungsdaten der Starwood-Kunden gespeichert waren. Nachdem die Datenbank kompromittiert worden war, wurden 383 Millionen Gästedatensätze offengelegt, von denen 30 Millionen aus der EU stammten. Es handelte sich dabei um Daten wie Namen, Adressen, Reisepassnummern und Zahlungskarteninformationen der Gäste.

Wie hätte diese enorme Geldstrafe vermieden werden können? Das Information Commissioner's Office ist eine nicht-ministerielle öffentliche Einrichtung, die direkt dem Parlament des Vereinigten Königreichs unterstellt ist und vom Ministerium für Digitales, Kultur, Medien und Sport gefördert wird. Die Untersuchung des ICO ergab, dass Marriot es versäumt hatte, nach der Übernahme der Starwood-Gruppe eine angemessene Bewertung seiner Systeme vorzunehmen. Wäre es dem Unternehmen gelungen, seine Systeme besser abzusichern und die Schwachstellen zu beseitigen, hätte es den Fonds und den Schaden, der Millionen von Kunden entstanden ist, sehr wohl vermeiden können.

British Airways - 22 Millionen Euro (26 Millionen Dollar)

British Airways ist eine sehr beliebte britische Fluggesellschaft, die gemessen an der Flottengröße und der Zahl der beförderten Passagiere als zweitgrößte britische Fluggesellschaft gilt. Nachdem eine ICO-Untersuchung ergeben hatte, dass die Fluggesellschaft erhebliche Mengen personenbezogener Daten ohne angemessene Sicherheitsmaßnahmen verarbeitete, verhängte die ICO gegen British Airways eine Geldstrafe in Höhe von 22 Millionen Dollar (ursprünglich 238 Millionen Dollar).

Im Jahr 2018 wurden die Systeme von British Airways kompromittiert, und die Sicherheitsverletzung betraf die sensiblen Daten von mehr als 400.000 Kunden wie Log-in-Daten, Zahlungskarteninformationen sowie Namen und Adressen von Reisenden. Nach Angaben des ICO hat British Airways es versäumt, die persönlichen und finanziellen Daten seiner Kunden zu schützen. Dieses Versäumnis verstieß gegen die Bestimmungen der Datenschutz-Grundverordnung (GDPR) und machte BA zum Ziel eines Cyberangriffs, der mehr als zwei Monate lang nicht entdeckt wurde.

Was hätte man anders machen können? Dem ICO zufolge hatte BA es versäumt, Schwachstellen in seinen Systemen zu erkennen, und verfügte nicht über ausreichende Sicherheitsmaßnahmen zum Schutz seiner Umgebung, so dass der Angriff vermeidbar gewesen wäre. Das ICO schlug vor, dass die Fluggesellschaft einen auf Sicherheit ausgerichteten Ansatz verfolgen und in Sicherheitslösungen investieren sollte, um die von der Datenschutz-Grundverordnung (GDPR) vorgegebene Datenpolitik zu gewährleisten.

Meta (Facebook) Irland - 17 Millionen Euro (18,2 Millionen Dollar)

Jeder kennt Meta, das riesige Technologiekonglomerat, dem die größten Social-Media-Plattformen gehören. Im März 2022 wurde Meta Platforms Ireland von der irischen Datenschutzkommission (DPC) zu einer Geldstrafe in Höhe von 18,2 Millionen Dollar verurteilt, weil es die Sicherheitsmaßnahmen zum Schutz der Daten der EU-Nutzer nicht nachgewiesen hatte.

Im Jahr 2018, nach einer Reihe von zwölf Datenschutzverletzungen, begann der DSK zu untersuchen, inwieweit Meta Platforms Ireland die DSGVO einhält. Der Datenschutzbeauftragte fand heraus, dass es bei den zwölf Meldungen von Datenschutzverletzungen zu Verstößen gegen die DSGVO in Bezug auf die Verarbeitung personenbezogener Daten kam.

Wie hätte diese hohe Geldstrafe verhindert werden können? Meta Platforms Ireland hätte die Verstöße verhindern können, wenn das Unternehmen einen auf Sicherheit ausgerichteten Ansatz verfolgt, in Sicherheitslösungen investiert und strenge Datenschutzrichtlinien zur Einhaltung der GDPR-Vorschriften aufgestellt hätte.

Vodafone Italia - 12,3 Millionen Euro (14,5 Millionen Dollar)

Vodafone Italia S.p.A. ist eine italienische Telefongesellschaft und Tochtergesellschaft von Vodafone. Im November 2020 wurde Vodafone Italia wegen zahlreicher angeblicher Verstöße gegen die DSGVO im Zusammenhang mit der Verarbeitung personenbezogener Daten zu einer Geldstrafe von 14,5 Millionen Dollar verurteilt.

Im Jahr 2020 leitete die italienische Datenschutzbehörde ("Garante") eine Untersuchung gegen Vodafone Italia ein, nachdem sich Kunden über unerwünschte Anrufe beschwert hatten, die sie von verschiedenen Unternehmen erhielten, die für ihre Produkte warben. Die Untersuchung ergab, dass das Unternehmen es versäumt hatte, die Kundendaten ordnungsgemäß zu schützen und personenbezogene Daten an Callcenter von Dritten weiterzugeben.

Wie hätte dies vermieden werden können? Obwohl dieser Vorfall durch den "Fehler" von Telemarketing-Kampagnen ans Licht kam, haben die italienischen Datenschutzbehörden entdeckt, dass eine Reihe von GDPR-Bestimmungen verletzt wurden. Um dieses Bußgeld zu vermeiden, hätte Vodafone Italia regelmäßige GDPR-Audits durchführen und alle Beziehungen zu externen Datenverarbeitern dokumentieren müssen. 

Was ist also die Lösung und was sollten wir daraus lernen?

Es gibt ein weises Sprichwort, das wie folgt lautet: "Jeder lernt aus seinen eigenen Fehlern, aber aus den Fehlern anderer zu lernen, gilt als weise". Wir glauben, dass dies wichtig ist, da es eine proaktive Vorgehensweise nahelegt. Jeder ist anfällig für diese Art von Vorfällen und sogar für Schlimmeres, aber lassen Sie uns aus den Vorfällen anderer lernen und uns selbst etwas Schmerz ersparen. Das ist es, was weise bedeutet: eine Vision für die Zukunft zu haben und danach zu handeln. Wir wissen, dass Sie in die Zukunft blicken, deshalb haben Sie ein so erfolgreiches Unternehmen, und wir wollen Teil dieses Erfolgs sein, indem wir proaktiven Schutz bieten.

Der Umgang mit den Daten von in der EU ansässigen Personen ist eine Aufgabe, die mit Verantwortung verbunden ist. Sie brauchen regelmäßige GDPR-Audits, um die Sicherheit Ihrer Umgebung zu gewährleisten. Daran haben wir gedacht. Wir möchten nicht, dass Sie sich bei dem Versuch verzetteln, mehrere Sicherheitsstandards auf einmal zu erfüllen. Aus diesem Grund haben wir Runecast entwickelt. Runecast ist eine Plattform, die automatische Sicherheitsprüfungen, Schwachstellenmanagement und Risikomanagement für AWS, Azure, GCP, VMware, Linux OS, Windows OS und Kubernetes bietet. Jetzt müssen Sie sich nicht mehr der Gnade von böswilligen Akteuren oder Datenschutzbehörden ausliefern, die Ihnen enorme Geldstrafen aufbrummen wollen. Sie können Runecast vertrauen!