Die erste bedeutende DSGVO-Strafe ist da: British Airways muss im Zusammenhang mit einem Datenleck im letzten Jahr, von dem die persönlichen Daten von Hunderttausenden Menschen betroffen waren, mit einer Geldstrafe von 14230 Millionen TP230 Millionen (~1,513B TP23 ihres weltweiten Umsatzes im Jahr 2017) rechnen.
Gemäß den neuen Datenschutzbestimmungen der DSGVO kann das britische Information Commissioner's Office (ICO) Unternehmen mit einer Geldstrafe von bis zu 41 TP3B ihres weltweiten Umsatzes belegen, wenn festgestellt wird, dass sie gegen Datenschutzbestimmungen verstoßen.
Elizabeth Denham, Informationsbeauftragte beim ICO erklärte „Personenbezogene Daten sind genau das – persönlich. Wenn eine Organisation sie nicht vor Verlust, Beschädigung oder Diebstahl schützt, ist das mehr als nur ärgerlich. Deshalb ist das Gesetz eindeutig: Wenn Ihnen personenbezogene Daten anvertraut werden, müssen Sie diese schützen. Wer dies nicht tut, wird von meinem Büro genau unter die Lupe genommen, um sicherzustellen, dass er angemessene Maßnahmen zum Schutz grundlegender Datenschutzrechte ergriffen hat.“
Dieser Bußgeldvorschlag wurde etwas mehr als ein Jahr nach Inkrafttreten der DSGVO angekündigt und unterstreicht die Bedeutung des Datenschutzes in Unternehmen: Jedes Unternehmen, das Kundendaten sammelt, muss diese Daten schützen und verwalten – andernfalls riskiert es behördliche Sanktionen.
Wichtigste Erkenntnisse:
• Es ist die Typ der kompromittierten Daten ist entscheidend. In diesem Fall ist es nicht nur PII – Dieser Verstoß gefährdete Kundendaten, von Namen der Reisenden über Kreditkarteninformationen bis hin zu Reisebuchungsdetails. Personenbezogene Daten (PI) gehen über Kreditkartennummern und Adressen hinaus und können alle Daten einer Person umfassen – einschließlich Namen, Reisebuchungsdetails und Anmeldeinformationen.
Schnelle Reaktion und Sorgfalt reichen nicht aus, um Strafen zu vermeiden. British Airways informierte die Kunden innerhalb weniger Tage nach Entdeckung des Cyberangriffs und führte eine kontinuierliche Nachverfolgung und Überwachung durch, um die Folgen des Angriffs zu beheben. Eine schnelle Reaktion auf einen Cyberangriff ist zwar lobenswert, befreit Unternehmen aber nicht unbedingt von Strafen, sobald Kundendaten kompromittiert wurden.
• Ein Vorzeichen für die Zukunft? Diese Rekordstrafe zeigt, wie transparent das ICO bei der Kommunikation von Datenschutzverletzungen ist. Diese Transparenz könnte ein Vorzeichen für die zukünftige Vorgehensweise der Regulierungsbehörden bei Durchsetzungsentscheidungen sein, um Unternehmen zu ernsthaften Anstrengungen zum Schutz von Verbraucherdaten zu bewegen.
Der Schutz von Kundendaten ist heute wichtiger denn je. Wie können sich Unternehmen auf die Datenschutzbestimmungen vorbereiten?
1. Entdecken und identifizieren Sie alle Formen personenbezogener Daten: Organisationen müssen in der Lage sein, alle Formen von PI (nicht nur PII) über alle Datenquellen hinweg zu identifizieren – von Von AWS über MySQL bis Salesforce.
2. Korrelieren mit einer Reihe von Identitäten: Nutzen Sie maschinelles Lernen und Analysen, um unterschiedliche Datenpunkte in persönliche Profile einzubauen und so Kundendaten besser abzubilden, zu verstehen und angemessen zu schützen.
3. Vergleichen Sie bekannte kompromittierte PI von jüngsten Datenlecks in Ihrem Inventar und Ihren Datensätzen, um proaktiv zu reagieren und Kunden über potenzielle Verstöße zu informieren.
BigID steht im Zentrum der Datenschutzrevolution, die die Welt verändert, und hilft Unternehmen und Verbrauchern, maschinelles Lernen zu nutzen, um persönliche Informationen zu schützen und globale Datenschutzauflagen zu erfüllen. Klicken Sie hier, um eine Demo einzurichten und sehen Sie, wie BigID Unternehmen dabei hilft, ihren Datenschutz zu verändern.