Es kommt nicht oft vor, das eine Europäische Richtlinie ins Bewusstsein der Allgemeinheit dringt. Doch in den Wochen vor der Einführung der neuen Datenschutz-Grundverordnung, kurz DSGVO, wussten Gott und die Welt plötzlich darüber Bescheid.
In der Eile, in der die Anforderungen der Richtlinie erfüllt werden sollten, die die Vorschriften für die Verarbeitung und den Schutz der personenbezogenen Daten in der EU verschärft hat – inklusive persönlicher Daten auf ihren Websites - wurden unsere Posteingänge mit E-Mails überflutet.
So wie ein entfernter Verwandter, den man einmal pro Jahr zu Weihnachten sieht, kam nun jede Seite, auf der Sie sich einst einmal registriert hatten, aus der Versenkung zum Vorschein. Sei es ihre Einkaufsseite, eine vertrauenswürdige Bank, oder auch Ihre fragwürdige Deal-Website. Plötzlich überschwemmt mit Aufforderungen, unsere Zustimmung zu erteilen, sich erneut für den Newsletter anzumelden und zu bestätigen, welche unserer Daten wir gespeichert haben wollen, hat es nicht lange gedauert, bis Internet-Memes auftauchten. Die Menschen verärgerte weniger, dass ihre persönlichen Daten von den Unternehmen genutzt werden, als dass sie ihre Zustimmung dafür geben mussten, wie ihre Daten von den Unternehmen genutzt wurden.
Auch wenn die Unternehmen zwei Jahre Zeit hatten, zu agieren, waren viele Unternehmen überrascht. Und bevor die Richtlinie in Kraft gesetzt wurde, gab es eine Flut von E-Mails in letzter Minute, um die Richtlinie einzuhalten. Aber ist fast fünf Monate nach dem 25. Mai eigentlich etwas passiert?
Die kurze Antwort ist ganz klar ja. Das Thema schwindet nicht aus den Köpfen der Öffentlichkeit. Im Gegenteil, es sieht so aus, dass die DSGVO die Menschen zum Handeln motiviert hat. Nach den Angaben The Guardian verzeichnete das britische Information Commissioner’s Office (ICO) einen Anstieg bei den Mitteilungen von Verstößen der Unternehmen sowie weitere Datenschutzbeschwerden nach der Aktivierung des Gesetzes.
Die French Data Protection Authority (CNIL) meldete ebenfalls einen Anstieg der Beschwerden um 50 Prozent, seit dem 25. Mai. Währenddessen in Österreich die Anzahl der eingereichten Beschwerden eines Monats der Menge entspricht, die sie normalerweise in acht Monaten bekommen.
Aber was ist der Grund dafür, dass die Menschen plötzlich so darauf aus sind, sich zu beschweren? Und wie gehen die verschiedenen Datenschutzbehörden mit den vermehrten Beschwerden in Bezug auf die DSGVO um?
Für Peter aus Deutschland (der Name wurde abgeändert) ist es kein neues Phänomen, sich für die aktive Durchsetzung seiner Persönlichkeitsrechte einzusetzen. Jedoch ist dieses Thema definitiv präsenter bei den Unternehmen und auf das sie jetzt eher reagieren werden.
„Ich betreibe mehrere Websites und Unternehmen. Nach deutschem Recht sind Sie verpflichtet, Ihre Kontaktdaten auf der Website zu veröffentlichen. Deshalb wurden meine Kontaktdaten auf mehreren Websites erneut veröffentlicht“, sagt Peter.
Am Anfang waren es nur lästige Junk-Mails und unnütze Werbebriefe. Nach kurzer Zeit jedoch verschärfte sich die Situation für Peter, als es anfing, Probleme beim Zahlungseingang von einigen Kunden zu haben.
„Mehrere Banken stellten die Überweisungen ein, da die World Check-Datenbank mich fälschlicherweise der Geldwäsche und noch Schlimmerem bezichtigte. Zu dieser Zeit wollte ich genau wissen, was dort gespeichert war und woher die Daten kamen. Das veranlasste mich, jegliche Datenfreigabe zurückzuverfolgen.“
Seit diesem Vorfall hat Peter es sich zur Gewohnheit gemacht, allen Absendern von Werbematerialien mit einer Bitte um weitere Informationen zu antworten. Seitdem hat er Hunderte von Löschanfragen seiner Daten gestellt. In Folge ließ er sich von Hunderten von Websites löschen. Was sich laut Peter geändert hat, ist die Art und Weise, wie die Unternehmen reagieren.
„Pre-DSGVO… viele Unternehmen schrieben lediglich zurück, dass die Daten nun gelöscht seien. Allerdings gab es keine weiteren Informationen über den Ursprung der Daten und was genau gespeichert war. Seit der Hysterie um die DSGVO weiß so gut wie jeder Bürger, dass es diese Richtlinien gibt. Viele Unternehmen haben sich zwangsweise selbst geschult.
Trotz vermehrten Wissens in der Öffentlichkeit über ihre Rechte, scheint es so, als könnten die Datenschutzbehörden, laut Peter, einige Verbesserungen benötigen. "Die Antwort- und Antwortzeiten sind je nach Land sehr unterschiedlich. Die deutschen Behörden haben im Allgemeinen sehr schnell reagiert, das Vereinigte Königreich untersucht seit Monaten eine meiner Beschwerden, und Spanien... Nun, sagen wir einfach, ich warte immer noch auf eine Antwort."
Ungeachtet der lockeren Reaktion seitens einiger Behörden, wird die Landschaft unbeständig für diejenigen, die gegen die Vorschriften der DSGVO verstoßen. Datenschutzbehörden können Unternehmen bis zu 20 Millionen oder 4 Prozent ihres weltweiten Umsatzes bestrafen. Obwohl viele in Frage stellten, ob die verschiedenen Datenschutzbehörden dies durchsetzen und mit eiserner Faust auftreten würden, scheint die Antwort ein klares Ja zu sein.
Im Juni verhängte CNIL an ein französisches Optikzentrum eine Rekordstrafe in Höhe von 250.000 Euro, weil es die personenbezogenen Daten seiner Kunden unzureichend gesichert hatte. Es wurde bekanntgegeben, dass Kunden beim Eingeben mehrerer URL’s in der Adressleiste eines Browsers auf der Website des Optical Centers auf mehr als 300.000 Dokumente (hauptsächlich Rechnungen) anderer Kunden zugreifen konnten.
Vor Kurzem befand sich British Airways in einer prekären Situation, als durch ein Computer Hack Kreditkartendaten von ungefähr 380.000 Kunden gefährdet wurden. Die Vorschriften der DSGVO schreibt den Unternehmen vor, technische Vorkehrungen zu treffen. Dazu gehört u.a. die Verschlüsselung, um den Schutz der Kundendaten zu gewährleisten. Zudem müssen Firmen die Behörden innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung informieren.
„Es bleibt interessant zu beobachten, ob die Behörden sich dafür aussprechen, dass die Vorfälle bei British Airways eine Verletzung der Vorschriften darstellen und es deshalb zu einer Bußgeldstrafe kommt“, sagt Mikkel Landt, Product Unit Direktor für Sicherheit bei Siteimprove. Nach Zahlen aus dem Jahr 2017 könnte für British Airways ein Bußgeld in einer Höhe von bis zu 489 Millionen Pfund verhängt werden.
Wenn Unternehmen Siteimproves Data Privacy Software nutzen, erhalten sie einen gesamten Überblick über persönliche Daten und Cookies auf ihren Domains. Die automatisierte Software kann als Rückgrat für die Einhaltung zu den DSGVO Internet-Compliance Bemühungen gesehen werden: von einer kompletten IP und Domain Map bis zu einer organisierten Liste von Cookies von Erst- und Drittanbietern und mehr.
Um mehr darüber zu erfahren, wie Siteimprove Sie bei Ihren Bemühungen um den Datenschutz auf Ihrer Website unterstützen kann, fordern Sie heute noch eine Website-Analyse für Siteimprove Data Privacy an.
Jessica O’Sullivan-Munck ist seit 2013 bei Siteimprove tätig. Als Public Affairs & Relations Manager für Siteimprove teilt sie gern Informationen zum barrierefreien Webdesign und kümmert sich um verschiedenste Projekte und Initiativen. Jessica hat Politikwissenschaften und Journalismus an der University of Notre Dame in Australien studiert und ein Postgraduate in Strategic Public Relations an der University of Sydney absolviert.