Bußgeldkatalog

Die teuersten Datenschutz-Fails

12.04.2021
Von  und
Dan Swinhoe schreibt für die US-Schwesterpublikation CSO Online.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Durch vermeidbare Fehler begünstigte Datenschutz-Debakel haben diese Unternehmen mehr als nur eine Stange Geld gekostet.
Datenschutz-Verstöße sind nicht nur oft mit überschaubarem Aufwand vermeidbar, sondern können richtig teuer zu stehen kommen, wie diese Beispiele zeigen.
Datenschutz-Verstöße sind nicht nur oft mit überschaubarem Aufwand vermeidbar, sondern können richtig teuer zu stehen kommen, wie diese Beispiele zeigen.
Foto: Roka - shutterstock.com

Die Anzahl und Höhe der verhängten Bußgelder im Zusammenhang mit Datenschutz-Verfehlungen legen nahe, dass die staatlichen Regulatoren Unternehmen immer engere Zügel anlegen. Im Jahr 2019 wurden beispielsweise British Airways, Marriott und Equifax mit exorbitanten Geldstrafen belegt. Wir haben einige der bislang teuersten Datenschutz-Debakel im Unternehmensumfeld für Sie zusammengefasst.

Epic Finanzdaten-Fail

Ein ungepatchtes Apache Struts Framework innerhalb einer Datenbank geriet im Jahr 2017 für den US-Finanzdienstleister Equifax zum Datenschutz-Desaster. Der Fehler legte persönliche und finanzielle Daten von knapp 150 Millionen Kunden offen. Der Grund: Das Unternehmen hatte "versäumt", eine kritische Sicherheitslücke zu schließen, obwohl der entsprechende Patch schon seit Monaten zur Verfügung stand. Im Anschluss "versäumte" das Unternehmen schließlich noch über einige Wochen, die Öffentlichkeit über das Datenleck zu informieren.

Im Juli 2019 erklärte sich Equifax bereit, eine Geldstrafe von mindestens 575 Millionen Dollar zu bezahlen (die unter Umständen bis auf 700 Millionen Dollar steigen könnte). Das geschah im Rahmen einer außergerichtlichen Einigung mit den zuständigen, beziehungsweise betroffenen, US-Behörden. 300 Millionen der Bußgeld-Dollars sollen betroffene Equifax-Kunden mit Monitoring Services für ihre Finanzen ausstatten.

Sollte dieser Betrag nicht ausreichen, um alle Kosten zu decken, kann er um weitere 125 Millionen Dollar aufgestockt werden. Auf die 50 US-Staaten entfallen 175 Millionen Dollar - weitere 100 Millionen Dollar auf das Consumer Financial Protection Bureau (CFPB), die US-Verbraucherschutzbehörde für den Finanzsektor. Zudem verpflichtete sich das Unternehmen im Rahmen der Einigung dazu, seine IT-Sicherheitsmaßnahmen alle zwei Jahre durch eine externe Instanz prüfen zu lassen.

Joe Simons, Chef der US-Handelskommission (FTC), hat zu den Vorgängen eine eindeutige Meinung: "Unternehmen, die von persönlichen Daten profitieren, kommt ein Übermaß an Verantwortung zu, diese Daten auch entsprechend zu schützen und abzusichern. Equifax ist an grundlegenden Schritten gescheitert, die die Kompromittierung von 147 Millionen Kunden hätten verhindern können."

In Großbritannien wurde Equifax für dieselbe Datenschutz-Verfehlung bereits zu einer Geldstrafe von 625.000 Dollar verurteilt. Das war die höchstmögliche Strafe des Data Protection Act 1998 vor Inkrafttreten der DSGVO.

Hacking Class mit British Airways

Trotz der gängigen Angstmacherei über die Höhe der Geldstrafen für Verstöße, waren die ersten DSGVO-Monate relativ moderat, wenn es um die tatsächlich verhängten Strafen geht. In Europa gab es einige Fälle, die jedoch zunächst mit Geldstrafen geahndet wurden, die sich nicht wesentlich von denen der Prä-GDPR-Ära unterschieden. Angesichts der massiven Investitionen in Compliance-Maßnahmen und den scheinbar milden Strafen, machte sich vielerorts die Angst breit, die Datenschutzgrundverordnung wäre ein Rohrkrepierer.

Nachdem British Airways in Großbritannien jedoch mit einer Rekordstrafe von 230 Millionen Dollar belegt wurde, änderte sich das. Die britische Datenschutzbehörde ICO verhängte die Strafe, nachdem es der Hackergruppe Magecart mit Hilfe von Skimming-Skripten gelungen war, innerhalb von zwei Wochen die persönlichen Daten und Zahlungsinformationen von 500.000 Kunden zu stehlen.

In seinem Statement zum Datenschutz-Debakel bei British Airways konstatierte das ICO, dass "unzureichende Security-Maßnahmen" den Hackerangriff möglich gemacht hatten.

Einfach Uber-sehen?

Im Jahr 2016 wurden beim Fahrdienstleister Uber circa 600.000 Datensätze von Fahrern und 57 Millionen Kunden-Accounts gehackt. Statt den Vorfall zu melden, entschied sich das Unternehmen dafür, die verantwortlichen Cyberkriminellen mit einem Schweigegeld in Höhe von 100.000 Dollar auszustatten, um den Angriff unter den Teppich zu kehren. Die Folge war eine Geldstrafe in Höhe von 148 Millionen Dollar im Jahr 2018 .

Datenschutz-Fail-Akquise

Der nächste Fall zeigt, dass es sich mit DSGVO-Strafen ein bisschen so verhält wie mit Bussen im öffentlichen Nahverkehr: Erst wartet man eine Ewigkeit, dass einer kommt - dann biegen zwei gleichzeitig um die Ecke. Nur Tage nachdem British Airways mit einer Rekordstrafe belegt wurde, verhängte die britische Datenschutzbehörde ICO eine weitere Geldstrafe wegen eines massiven Datenlecks: Hacker hatten die Zahlungsinformationen und persönlichen Daten von 500 Millionen Kunden der Hotelkette Marriott International kompromittiert. Die Wurzel des Übels lag dabei im Netzwerk der Marriott-Tochtergesellschaft Starwood. Kriminelle Hacker hatten sich dort über vier Jahre eingenistet und blieben auch im Netz, nachdem Starwood von Marriott akquiriert wurde.

Laut ICO habe Marriott verpasst, vor dem Kauf von Starwood die notwendige Schritte im Sinne einer Due Diligence einzuleiten. Zudem seien auch die eigenen Systeme unzureichend abgesichert gewesen. Marriott-CEO Arne Sorenson bezeichnete die verhängte Datenschutz-Geldstrafe als "Enttäuschung" und kündigte an, die Entscheidung anfechten zu wollen. Das Beispiel von Marriott zeigt, dass eine Datenschutz-Verfehlung zu verschiedenen Strafen in unterschiedlichen Ländern führen kann: Auch die türkische Datenschutz-Instanz verhängte eine Strafe gegen den Hotelkonzern über 265.000 Dollar.

Der Datenleck-Gigant

Im Jahr 2013 wurde die gesamte Datenbank des Ex-Internet-Riesen Yahoo gehackt. Mit drei Milliarden betroffenen Accounts war fast die gesamte Nutzerbasis des World Wide Web betroffen. Das Unternehmen hielt die Vorgänge dennoch drei Jahre "unter Verschluss".

Im April 2018 verhängte die US-Börsenaufsichtsbehörde SEC dafür eine Strafe von 35 Millionen Dollar. Im September 2019 konnte Altaba - der neue Eigentümer von Yahoo - eine durch das Datenschutz-Debakel hervorgerufene Sammelklage gegen eine Zahlung von 50 Millionen Dollar zu einer außergerichtlichen Einigung bringen. Bei einer Gesamtstrafe von 85 Millionen Dollar kostete das Unternehmen jeder kompromittierte Datensatz circa 36 Dollar.