Datenschutzbeauftragter ist zahnloser Tiger, wenn es um Vergehen der Privatwirtschaft geht


Die Konzentration der britischen Konservativen auf die Bestrafung von Datenschutzverletzungen im öffentlichen Sektor läuft Gefahr, die Privatwirtschaft aus der Verantwortung zu nehmen, so Alan Calder.

Letzte Woche gaben die britischen Konservativen Pläne bekannt, „den Aufstieg des Überwachungsstaates zu verhindern“. Dazu möchten sie die Vollmachten der britischen Datenschutzbehörde (ICO) zur Regulierung des öffentlichen Sektors erweitern.

In diesem Dokument ist viel Gutes enthalten, da anerkannt wird, wie erschreckend unfähig die Regierung ist, unsere persönlichen Daten zu schützen. Die Privatwirtschaft kommt im Vergleich dazu jedoch glimpflich davon, da nicht erkannt wird, dass das ICO größere Vollmachten benötigt, um Direktoren unter Kontrolle zu bringen.

Persönliche Informationen

Eine große Menge persönlicher Informationen wird in der Privatwirtschaft gespeichert. Bonuskarten, Banksysteme und soziale Medien sind nur einige der Dinge, die in unserem Leben heute eine zentrale Rolle spielen. Während die Tories natürlich Recht damit haben, dass wir Informationen freiwillig an die Privatwirtschaft geben, wird das Ausmaß dieser Freiheit übertrieben. Wenn die Alternative darin besteht, in der heutigen technologischen Welt „außerhalb des Netzes“ zu leben, welche Wahl haben wir dann wirklich?

Das Dokument der britischen Konservativen besagt, dass „Unternehmen im Allgemeinen viel besser im Bereich Datenschutz sind“ und dass Firmen gute Gründe haben, um die Informationen ihrer Kunden zu schützen. Wenn dies jedoch wahr wäre, warum werden wir dann regelmäßig mit Datenschutzskandalen konfrontiert, die Unternehmen einfach hätten vermeiden können?

Die Tories übersehen die wesentlichen Wahrheiten. Immer wieder haben Unternehmen ihre Pflichten gegenüber Kunden nicht wahrgenommen, da unsere schwachen Regulierungen wenig Anreize zur Verbesserung bieten.

Echte Strafen

Wenn Unternehmen Datenschutz nicht ernst nehmen, ist die Finanzaufsichtsbehörde (Financial Services Authority) derzeit die einzige Organisation, die echte Strafen verhängen kann. Die Strafe, die vor kurzem gegen drei Filialen der HSBC-Bank verhängt wurde, ist die bisher höchste, die gegen ein Unternehmen vorgebracht wurde.

Es war die Absicht der Finanzaufsichtsbehörde, der Geschäftsleitung ihre Verantwortung klar zu machen, und zumindest hat es den Druck erhöht. Doch macht eine Strafe von £3 Millionen für eine Organisation mit Gewinnen in Milliardenhöhe wirklich etwas aus?

Während die HSBC vermutlich ein wenig peinlich berührt war, schlägt die finanzielle Strafe kaum zu Buche. Wenn Strafen wie diese tatsächlich eine Wirkung hätten, warum war es dann notwendig, nur zwei Jahre nach der Strafe von £980.000 für Nationwide Maßnahmen gegen die HSBC zu ergreifen?

Zudem ist es für Unternehmen nur mit geringerem finanziellen Aufwand verbunden, ihre Pflicht in diesem Bereich zu tun. Niemand muss das Rad neu erfinden – ISO 27001 legt fest, wie Datensysteme sicher verwaltet werden können, während BS10012 zeigt, wie die Anforderungen des Datenschutzgesetzes erfüllt werden können. Selbst für einen Goliath wie die HSBC würden die notwendige Arbeit und die Schulung von Mitarbeitern £100.000 nicht übersteigen. Kleinere Unternehmen könnten die Vorgaben schon für viel weniger umsetzen.

Angesichts der Tatsache, dass Strafen offenbar keine Wirkung zeigen, scheint die Strafverfolgung von Einzelpersonen leider die einzige Alternative zu sein. Es wird Zeit, dass Datensicherheit die angemessene Bedeutung eingeräumt wird, d.h. Freiheitsstrafen für CEOs, CIOs und leitende Beamte, die absichtlich die Gesetze missachten.

Hier beginnen jedoch die Probleme. Das ICO wäre zwar die geeignete Behörde für solche Maßnahmen, sie hat jedoch weder die Ressourcen noch die Vollmachten, um tatsächliche Änderungen zu bewirken. Der Gesundheits- und Arbeitsschutzbeauftragte hat ein Budget und eine Belegschaft, die 20 Mal so groß sind wie die des ICO, sowie die Vollmachten, Strafen zu verhängen und zu prüfen. So ist es auch wenig verwunderlich, dass die Gesetzgebung zum Gesundheits- und Arbeitsschutz weit vorangekommen ist, während der Datenschutz so schwach bleibt.

Das ICO wird außerdem durch fehlende Richtlinien zu Verurteilungen behindert. Diese Richtlinien wurden schon häufig versprochen, scheinen jedoch auf unabsehbare Zeit in Ausschüssen festzuhängen, so dass Täter ihre Arbeit ungestraft fortführen können.

Eröffnungssalve

Während wir also diese Eröffnungssalve von der möglichen nächsten Regierung begrüßen, müssen sich die britischen Konservativen sowohl auf die Privatwirtschaft als auch auf den öffentlichen Sektor konzentrieren. Einfach nur die Idee einer freiwilligen Kitemark-Zertifizierung für Prozesse in der Privatwirtschaft in den Raum zu stellen, ist beinahe eine Einladung an die Vorstände, die Füße hochzulegen.

Ich würde mir wünschen, dass die Konservativen ein ICO-Budget beschließen, das erheblich über dem heutigen liegt, und die Veröffentlichung von wesentlichen Strafrichtlinien beschleunigen. Sie sollten die Übernahme von ISO 27001 und BS10012 für britische Unternehmen ab einer bestimmten Größe bindend machen.

Als i-Tüpfelchen sollten sie außerdem eine Richtlinie zur paneuropäischen Datensicherheit auf den Weg bringen. Unternehmen, die persönliche Daten nicht schützen, müssen die vollen Entschädigungskosten tragen sowie erhebliche finanzielle Strafen bezahlen.

Es ist Zeit, von unseren gewählten Vertretern zu verlangen, dass sie dieses Thema ernst nehmen. Sie müssen Gesetze verabschieden, deren Missachtung spürbare Strafen nach sich zieht, und die finanzielle Unterstützung zur Verfügung stellen, um die Durchsetzung dieser Gesetze zu ermöglichen.

Alan Calder ist Autor im Bereich Informationssicherheit und CEO der Sicherheits- und Compliance-Organisation IT Governance.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

10 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago