Fast 10.000 Beschwerden und Meldungen zu Datenverstößen hat es in Deutschland seit Inkrafttreten der Europäischen Datenschutzgrundverordnung (EU-DSGVO) zwischen Mai und September 2018 gegeben. Für die gesamte EU sind im gleichen Zeitraum sogar fast 75.000 Meldungen und Beschwerden eingegangen. Allerdings gibt es einen entscheidenden Haken: Die Mühlen der Datenschutzbehörden mahlen – noch – zu langsam. Zu lasche Sanktionen und unterbesetzte Behörden sind nur zwei Probleme.

Insgesamt seien laut Andrea Voßhoff, der bis vor kurzem amtierenden Bundesdatenschutzbeauftragten, etwa 3.700 allgemeine Eingaben und konkrete Beschwerden sowie knapp 5.000 Meldungen zu Datenschutzverstößen eingegangen. In der gesamten EU sind 55.000 Beschwerden und knapp 19.000 Datenschutzverstöße gemeldet worden. Immerhin hat Europa mit der EU-DSGVO eines der besten Datenschutzgesetze weltweit. Lediglich an der Durchsetzung hapert es. Das liegt vor allem daran, dass die nationalen Behörden für die Umsetzung verantwortlich sind. Wenn sie den Beschwerden nicht nachgehen oder gegen Verstöße ermitteln, ist die DSGVO nutzlos. Von den 28 EU-Mitgliedsstaaten haben noch nicht einmal alle die DSGVO in ihr nationales Recht implementiert. Einige Behörden haben außerdem die finanziellen Mittel für die Datenschutzbehörden gekürzt anstatt sie aufzustocken. Bei immer mehr gemeldeten Verstößen ist das natürlich die denkbar schlechteste Wahl.

In Deutschland sieht es auch noch nicht so viel besser aus: Zwar laufen derzeit einige Bußgeldverfahren, allerdings haben elf Bundesländer bisher noch gar keine Bußgelder verhängt. Vorreiter mit 33 vollstreckten Fällen ist Nordrhein-Westfalen, gefolgt von Hamburg mit nur 3 sowie Berlin und Baden-Württemberg mit jeweils 2 verhängten Bußgeldern. In Bayern laufen noch 85 Verfahren. Wie diese ausgehen und wie hoch die Strafen letztendlich sein werden, bleibt oft von der Öffentlichkeit unbemerkt. Welches Unternehmen gibt schon öffentlich zu, dass Sicherheitslücken bestehen und sensible Daten kompromittiert wurden oder werden könnten? Der gute Ruf steht auf dem Spiel.

Ausgelöst werden die meisten Bußgeldverfahren übrigens durch konkrete Beschwerden. Das zeigt, dass sich das Bewusstsein beim Umgang mit sensiblen Daten langsam verbessert. Betroffene nehmen nicht mehr jeden Datenverstoß ungefragt hin. Das zwingt auch die Unternehmen zunehmend zum Handeln. Immerhin stehen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Vorjahresumsatzes im Raum. Vom Reputationsschaden mal ganz abgesehen. Der kann das Unternehmen letztendlich sogar mehr kosten als ein Bußgeld gemäß DSGVO.

Da ist es schlau, wenn Unternehmen vorsorgen bevor eine Datenpanne passiert. Beispielsweise mit einer Verschlüsselungslösung wie dem eperi Gateway, mit dem der komplette Verschlüsselungsprozess ausschließlich in der Hand des Unternehmens bleibt. Sensible Daten verlassen das Unternehmen nur in verschlüsselter Form. Angreifer können also nur für sie unleserlichen Datenmüll erbeuten. Im Hinblick auf die DSGVO ist das ein unschlagbares Argument. Immerhin haften im Falle eines Datenverstoßes letztendlich immer die Unternehmen selbst. Das kann auch nicht an Drittanbieter wie beispielsweise Cloud-Provider delegiert werden.

Und Unternehmen sollten sich über eines im Klaren sein: Die Meldungen und Anzeigen zu Datenverstößen werden nicht nachlassen, sondern eher zunehmen. Und auch wenn die Mühlen der Datenschutzbehörden noch langsam mahlen, früher oder später werden die Unternehmen zur Rechenschaft gezogen werden.