Datenschutz fängt nicht erst bei den Unternehmen an

Der Europäische Datenschutztag wird heute 17 Jahre alt. Am 28. Januar 2007 wurde er auf Initiative des Europarats ins Leben gerufen. Das Ziel: die Bürger Europas für den Datenschutz zu sensibilisieren. Das sollte durch Aktionen aller mit Datenschutz betrauten Organisationen geschehen.

Kein Wunder also, sehen sich jedes Jahr an diesem Tag diverse Cybersecurity-Firmen berufen, Unternehmen, Organisationen und Institute daran zu erinnern, dass sie eine Pflicht haben. Eine Pflicht, die Daten zu schützen, die ihnen von Mitarbeitenden, Kundinnen und Kunden, Partnerfirmen und weiteren anvertraut wurden. Denn niemand will diese Daten in den Händen von Cyberkriminellen sehen.

Wie kommen Unternehmen gemäss diesen Cybersecurity-Firmen also ihrer Pflicht am besten nach? Durch die Installation der jeweils aktuellen Cybersecurity-Massnahmen, -Technologien und -Software.

Cyberkriminelle sind die grösste Gefahr für den Datenschutz, oder?

Damit liegen die Cybersecurity-Firmen auch richtig – zumindest teilweise. Deutlich machen das Fälle wie der von Marriott International. Hacker erbeuteten im November 2018 in einem Marriott-Tochterunternehmen Kundendaten von beinahe 340 Millionen Gästen. Die britische Datenschutzbehörde ICO verhängte daraufhin eine Strafe von 110,4 Millionen Euro wegen Datenschutzverletzungen.

Ein weiteres Beispiel stellt etwa der Easyjet-Hack im Frühling 2020 dar, bei dem die Angreifer Daten von rund 9 Millionen Kundinnen und Kunden entwendeten. Laxe Sicherheit und schwacher Datenschutz können für Unternehmen oft doppeltes Unglück bedeuten: Opfer eines Hacks zu sein (mit allen daraus resultierenden Schäden) und danach auch noch teure Bussen dafür bezahlen zu müssen. Eine zeitgemässe Cybersecurity zu unterhalten, leistet also nicht nur einen Beitrag zum Datenschutz.

Betrachtet man die Mitteilungen verschiedener Cybersecurity-Unternehmen zum Datenschutztag, so wirkt es manchmal, als ob Unternehmen, Organisationen und Institutionen die einzige und letzte Bastion gegen böse Cyberkriminelle wären, die Daten missbrauchen wollen. Doch stimmt das nicht ganz, wie unter anderem die vergangenen Monate gezeigt haben.

Alle wollen Daten

Unternehmen und Organisationen haben die Datenschätze, die sie vor Angriffen schützen sollten, selbst aktiv gesammelt. Das Sammeln und Verarbeiten von Daten entsprechend den Datenschutzgesetzen scheint nicht allen leichtzufallen.

Seit der Einführung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) im Jahr 2018 wurden diverse Bussen nicht nur in Zusammenhang mit Cyberkriminellen ausgesprochen, wie Sie etwa hier und hier nachlesen können. Viele Unternehmen verletzten die Bestimmungen ganz ohne Mithilfe von Kriminellen, indem sie die EU-DSGVO – bewusst oder unbewusst – missachteten.

Besonders Datenkraken stehen in diesem Zusammenhang immer wieder im Rampenlicht. Schliesslich besteht ein guter Teil ihres Geschäfts im Sammeln und Verkaufen von Daten, wobei sie immer den unterschiedlichen Datenschutzbestimmungen verschiedener Regionen weltweit nachkommen müssten. In letzter Zeit hat insbesondere Facebook von sich reden gemacht.

Datenschutz und Datenkraken

Im Jahr 2018 verstrickte sich Facebook in einen Datenskandal um das Unternehmen Cambridge Analytica. Facebook selbst sieht sich als Opfer eines Datenlecks, das sich Cambridge Analytica zunutze gemacht haben soll. Dank der Daten von 50 Millionen Facebook-Userinnen und -Usern soll Analytica dem ehemaligen US-Präsidenten Donald Trump im Jahr 2016 zum Wahlsieg verholfen haben.

Ereignisse wie diese haben dazu beigetragen, dass die Facebook-Tochter Whatsapp vor Kurzem plötzlich in eine Bredouille geriet. Als der Messenger-Dienst einige Änderungen an den Nutzungs- und Datenschutzbestimmungen vornehmen wollte, suchten vermutlich mehrere tausend Nutzerinnen und Nutzer nach Messenger-Alternativen. Daraufhin verschob Whatsapp die geplanten Änderungen.

Das Beispiel zeigt, dass die Bevölkerung entweder sensibler bezüglich des Schutzes ihrer eigenen Daten geworden oder zumindest das Misstrauen gegenüber Datenkraken wie Facebook gewachsen ist. Dabei half dem Konzern wohl auch nicht, dass kürzlich über Telegram wegen eines Datenlecks Handynummern von Facebook-Nutzerinnen und -Nutzern gekauft werden konnten.

Datenschutz fängt nicht erst bei den Unternehmen an

Alle interessieren sich heutzutage für Daten. Deshalb wäre es ein Irrglaube, anzunehmen, dass nur etwa Unternehmen, Institutionen und Organisationen für den Datenschutz verantwortlich sind. Selbst wenn die Daten vor Cyberkriminellen geschützt sind, bedeutet das noch nicht, dass sie vor Missbrauch geschützt sind.

Deshalb versuchen etwa die EU-DSGVO und das neue Schweizer Datenschutzgesetz den Umgang mit Daten generell zu regulieren. Ursprünglich für die zweite Jahreshälfte 2022 geplant, trat das neue Gesetz schliesslich im September 2023 in Kraft. Es bringt einige Neuerungen mit sich, die bei Missachtung auch Bussen nach sich ziehen können - welche das sind, erfahren Sie hier.

Dass die Regulierungen aber stets angepasst werden müssen, zeigt etwa das Beispiel der Blockchain. Die Technologie soll jede Transaktion transparent festhalten und verhindern, dass Daten gelöscht oder verändert werden können. Datenschutzrechtlich wirft das einige Fragen auf, wie Sie hier nachlesen können.

Es bleibt festzuhalten: Datenschutz beginnt bereits bei der Person, von der die Daten stammen, und nicht erst bei einer Firma, welche die Daten für verschiedene Zwecke speichert. Wenn auch Unternehmen in der Verantwortung stehen, Daten zu schützen und nicht missbräuchlich zu verwenden, so ist es am Ende doch die Privatperson, die den grössten Einfluss darauf nehmen kann, welche Unternehmen überhaupt welche Daten erhalten.