Datenklau kann Konzerne in Europa bald hohe Geldstrafen kosten

Von Nina Trentmann

LONDON (Dow Jones)--Der Diebstahl von Daten, wie der, den der Taxi-Dienst Uber gerade eingestand, kommt Konzerne in der Europäischen Union bald teuer zu stehen. Die europäischen Regulierer wollen in solchen Fällen ab Mai 2018 Geldstrafen verhängen. Dann greift für börsennotierte und private Unternehmen die Allgemeine Datenschutzregulierung der EU. Das umfassende Regulierungswerk legt fest, wie Firmen Nutzerdaten verwenden dürfen und was im Fall von Hackerangriffen zu tun ist.

So müssen Firmen, die einen Datenklau nicht melden, bei dem persönliche Informationen entwendet wurden, bis zu 2 Prozent ihres weltweiten Umsatzes zahlen, oder aber 10 Millionen Euro - je nachdem welche Strafe höher ausfällt. Konzerne, die ohne Kundeneinwilligung persönliche Daten aufbereiten, könnten sogar 4 Prozent ihres Umsatzes oder 20 Millionen Euro an Strafe entrichten müssen.

Die meisten Datenschützer in EU-Mitgliedsländern dürfen derzeit in solchen Fällen keine Strafen verhängen. Das wird die neue Regulierung ändern. "Das ist ein ziemlicher Richtungswechsel, was den Umgang der Konzerne mit persönlichen Daten und ihrem potenziellen Verlust anbelangt", meint Kriminalexperte Jim McCurry von Ernst & Young. Bei vielen habe inzwischen auch bereits ein Sinneswandel eingesetzt.

Die neuen Regeln folgen auf eine Reihe von Hackerangriffe, bei denen in US- und europäischen Konzerne zahlreiche Nutzerdaten geklaut wurden, unter anderem bei Yahoo. In dieser Woche hatte dann Uber die Zahlung von 100.000 US-Dollar an Hacker im Vorjahr eingestanden, um einen Datenklau zu kaschieren, der 57 Millionen Nutzerkonten betraf. Das Unternehmen will nunmehr die Konteninhaber benachrichtigen. Laut Laura Jehl von der Kanzlei Baker & Hostetler hätte die neue Regelung im Fall von Uber voll und ganz gegriffen.

Uber hatte den Skandal mehr als ein Jahr lang unter den Teppich gekehrt. Die EU-Regulierer wollen die Konzerne darauf verpflichten, in Zukunft schneller an die Öffentlichkeit zu gehen. Deutschland etwa strebt an, dass die Firmen unter den neuen Regeln innerhalb von 72 Stunden Datenklau melden müssen. Andere Länder werden nachziehen, ist sich Paul Taylor, Chef der Cybersicherheit von KPMG in Großbritannien, sicher. Eine Frist von 72 Stunden zeichne sich als neuer Standard ab.

Großbritannien ist noch dabei, detaillierte Richtlinien auszuarbeiten, um das Regelwerk der EU umzusetzen. In den USA gibt es derzeit keine umfassenden Gesetze zum Umgang mit Datenklau. Stattdessen müssen sich betroffene Konzerne zusätzlich zu den Richtlinien der US-Börsenaufsicht SEC mit einer Reihe von Regelwerken auf Bundesstaatsebene herumschlagen. Die Auflagen der SEC gelten aber selbstredend nur für börsennotierte Unternehmen.

Kontakt zum Autor: unternehmen.de@dowjones.com

DJG/DJN/axw/sha

(END) Dow Jones Newswires

November 24, 2017 04:30 ET (09:30 GMT)