Der Datenschutz wird zur Chefsache

AUSGEWÄHLTER ARTIKEL

Als der Social Media-Konzern Snap (SNAP) im September 2021 seine Quartalsergebnisse 2021 bekannt gab, war es offensichtlich, dass der Datenschutz angesichts der neuesten Quartalszahlen der sozialen Medien und anderer Unternehmen in den Fokus rücken würde. So hatte das Unternehmen in seinen Ausführungen anlässlich der Telefonkonferenz, die zu den September-Quartalszahlen stattfand, folgendes notiert:

“Unser Anzeigengeschäft wurde durch die Änderungen an der Nachverfolgung von iOS-Anzeigen beeinträchtigt, die Apple im Juni und Juli auf breiter Front eingeführt hat. Wir haben zwar mit einer gewissen Geschäftsstörung gerechnet, allerdings ließ sich die neue von Apple bereitgestellte Messlösung nicht so skalieren, wie wir es erwartet hatten. Demzufolge wurde es für unsere Werbepartner schwieriger, ihre Werbekampagnen für iOS zu messen und zu steuern.“[1]

Mit iOS 15 hat Apple sein Engagement beim Datenschutz gesteigert und mit Funktionen wie der App-Tracking-Transparenz und den Datenschutz-Nährwertkennzeichnungen im App Store seinen Nutzern Funktionen zur Verfügung gestellt, die diesen tiefere Einsichten und eine präzisere Kontrolle über ihre Privatsphäre ermöglichen als zuvor. Auf die Frage, warum sich Apple auf den Datenschutz konzentriert, antwortete CEO Tim Cook: “Niemand muss die Rechte seiner Nutzer aufgeben, um ein großartiges Produkt zu liefern.”[2]

Aktuellen Prognosen von Mordor Research[3] zufolge wird der Gesamtwert des Markts des globalen Internets der Dinge (IoT) von 761 Milliarden Dollar im Jahr 2020 bis 2026 auf 1,4 Billionen Dollar steigen – eine faszinierende Perspektive. Angesichts der Zunahme von vernetzten Geräten, die Daten austauschen, erhalten wir mehr Informationen. Dies führt hoffentlich zu höherer Produktivität und besseren Entscheidungen. Manche würden argumentieren, dass dies eine zu optimistische Sichtweise ist und eigentlich davon ausgehen muss, dass mehr vernetzte Geräte eine größere Bedrohung für den Datenschutz und mehr Angriffsflächen in Bezug auf die Preisgabe von Informationen bedeuten. Auch wenn wir der obigen Ansicht von Cook zustimmen – kriminelle Akteure, die aus Datendiebstahl und Internetkriminalität Profit schlagen wollen, verfolgen bekannter Weise keine guten Absichten.

Die Verabschiedung von Datenschutzgesetzen wie der Datenschutz-Grundverordnung in Europa, dem kalifornischen Consumer Privacy Act (CCPA), dem brasilianischen General Data Protection Law (LGPD) und anderen, die sich ihren Weg durch die verschiedenen Gesetzgebungen bahnen, zeigt, dass der Schutz der Privatsphäre für den Einzelnen, wie auch für Regierungen und Unternehmen, ein wachsendes Anliegen ist. Das liegt auch daran, dass Verstöße gegen diese Datenschutzgesetze ziemlich teuer sein und damit sogar die Existenz kleinerer Unternehmen bedrohen können. Der CCPA sieht beispielsweise eine Höchststrafe von 2.500 Dollar für jeden unbeabsichtigten Verstoß und 7.500 Dollar für jeden vorsätzlichen Verstoß gegen das Gesetz vor.[4]  Entscheidend dabei ist, dass diese Strafen PRO Verstoß verhängt werden. Ein Unternehmen, bei dem 50.000 Datensätze kompromittiert wurden, könnte plötzlich mit 250 bis 750 Millionen Dollar zur Kasse gebeten werden. Im Mai 2021 legten Analysedaten von Golfdale Consulting offen, dass sich nur 62 Prozent der Unternehmensleiter als „sachkundig“ oder „sehr sachkundig“ darüber bezeichneten, wie sich der CCPA auf ihr Unternehmen auswirken könnte.[5]

Allein im Septemberquartal 2021 beliefen sich die Bußgelder im Zusammenhang mit der DSGVO auf mehr als 1,1 Milliarden US-Dollar – das ist in etwa 20-mal so viel, wie die Strafen, die in der ersten Jahreshälfte 2021 insgesamt verhängt wurden, und dreimal mehr als die Gesamtzahl der im vergangenen Jahr 2020 gemeldeten Bußgelder[6]. Einige der höheren Strafzahlungen betrafen Amazon (AMZN) Europe Core S.à.r.l. Das Unternehmen wurde wegen der unerlaubten Verwendung von Kundendaten für gezielte Werbung mit einer Geldstrafe in Höhe von 867 Millionen Dollar belegt. Das zu Facebook (FB) gehörende Unternehmen WhatsApp Ireland Ltd. wurde zu einer Geldstrafe in Höhe von 262 Millionen Pfund verurteilt, weil es ebenfalls schwerwiegende Verstöße gegen Datenschutzgesetze begangen hatte. Unter anderen hatte der Messenger-Dienst seine Nutzer nicht über die Art und Weise des Datenaustausches mit seiner Muttergesellschaft informiert. Auch der zu Alphabet (GOOG) gehörende Google-Konzern wurde mit einer Geldstrafe von mehr als 58 Millionen Dollar belegt.[7]

Man geht davon aus, dass der Erfolg dieser Durchsetzungsmaßnahmen die EU-Regulierungsbehörden ermutigen wird, nach weiteren Datenschutzverstößen zu suchen und höhere Geldbußen zu verhängen.[8] Und diejenigen, die denken, dass die oben genannten Bußgelder noch verhältnismäßig gering sind, seien daran erinnert, dass das kanadische Gesetz zum Schutz der Privatsphäre von Verbrauchern bei Verstößen Verwaltungsstrafen und Geldbußen von bis zu fünf Prozent des weltweiten Jahresumsatzes oder in der Höhe von 25 Mio. Kanadischen Dollar vorsieht – je nachdem, welcher Betrag höher ist.[9] Für Alphabet oder Facebook würde das auf der Grundlage des für 2020 gemeldeten Umsatzes Strafzahlungen von 4,2 bis 9,1 Milliarden Dollar bedeuten.

Die Einschätzung, dass Geldstrafen dieser Größenordnung den Unternehmen einen Schrecken eingejagt haben, ist nicht weit von der Realität entfernt. Anfang dieses Jahres befragte die Enterprise Strategy Group Unternehmen und Technologieexperten, was sie in Bezug auf Verstöße gegen staatliche Datenschutzbestimmungen am meisten beunruhigt. Die Antworten lauteten wie folgt:

• 17 Prozent: rechtliche Schritte
• 16 Prozent: die Kosten der Wiedergutmachung
• 15 Prozent: Geldstrafen und Bußgelder
• 13 Prozent: verringerte Produktivität und andere interne Probleme
• 13 Prozent: Auswirkungen auf die öffentliche Wahrnehmung und das Unternehmensimage
• 12 Prozent: Verlust von Geschäftseinnahmen und Umsatzeinbußen[10]

Diese Bedenken werden durch eine neue, noch aggressivere Version des CCPA, den California Privacy Rights Act (CPRA), der 2023 in Kraft treten wird, noch verstärkt. CPRA, auch bekannt als Proposition 24, erlaubt es den Verbrauchern beispielsweise:

• Unternehmen daran zu hindern, persönliche Daten weiterzugeben;
• unrichtige persönliche Daten zu korrigieren; und
• die Verwendung “sensibler personenbezogener Daten” durch Unternehmen einzuschränken – einschließlich genauer geografischer Angaben, ethnischer Zugehörigkeit, Religion, genetischer Daten, privater Daten, sexueller Orientierung und spezifischen Gesundheitsinformationen.[11]

Mit dem Instrument des CPRA können die Behörden gegen Unternehmen Bußgelder in Höhe von bis zu 7.500 Dollar pro Verstoß verhängen. Während das CCPA eine Bestimmung enthält, die es Unternehmen ermöglicht, Verstöße zu korrigieren, bevor der kalifornische Generalstaatsanwalt ein Bußgeld verhängt, entfällt mit dem CPRA diese Frist.[12] Und ja, eine wachsende Zahl von US-Bundesstaaten setzt ebenfalls Verbraucherschutzgesetze in Kraft, darunter Colorado, Maine, Nevada und Virginia[13].   

Dies gilt auch außerhalb der Vereinigten Staaten. Nach Angaben des britischen Ministeriums für Kultur, Medien und Sport (DCMS) sind 96 Prozent der Unternehmen in Großbritannien “in irgendeiner Form digital exponiert“[14] und bieten Cyberkriminellen mehr Möglichkeiten denn je, digitale Schutzmechanismen zu durchbrechen. Nicht zu vergessen ist, dass auch der britische Nationale Gesundheitsdienst (NHS) ein häufiges Ziel von Phishing- und Ransomware-Angriffen ist. Der Grund dafür ist der Wiederverkaufswert der gestohlenen Daten. Die Ergebnisse von Capsule zeigen, dass Cyberkriminelle beispielsweise medizinische Daten für bis zu 1.000 Dollar pro Stück verkaufen können, für gestohlene Kreditkartennummern hingegen gibt es nur fünf Dollar und für Sozialversicherungsnummern gar nur einen Dollar pro Stück.[15]  

Warum diese Diskrepanz? 

Im Gegensatz zu Kreditkarten können Krankenakten nicht gesperrt werden. Sie sind eine sprichwörtliche Fundgrube für persönliche Informationen, wie die Krankengeschichte des Patienten, demografische Daten, Krankenversicherungsdaten und Kontaktinformationen. Capsule weist darauf hin, dass diese “Daten dann für zahlreiche andere illegale Aktivitäten verwendet werden können, beispielsweise für die Beschaffung verschreibungspflichtiger Medikamente, für die Einreichung gefälschter medizinischer Anträge oder für den Diebstahl der Identität des Patienten, um Kreditkarten und betrügerische Kredite zu eröffnen”.[16]  

In Singapur haben jahrelange Datenkompromittierungen darunter 1,5 Millionen Gesundheitsdaten (25 Prozent der Bevölkerung) die singapurische Regierung 2018 dazu veranlasst, die Meldung von Datenschutzverletzungen im Jahr 2021 zur Pflicht zu machen[17]. Verpflichtende Vorschriften zur Meldung von Datenschutzverletzungen werden im gesamten asiatisch-pazifischen Raum immer beliebter. Acht Länder (Singapur, China, Indonesien, die Philippinen, Südkorea, Taiwan, Australien und Neuseeland) haben bereits eine Form von Meldevorschriften für Datenschutzverletzungen, und in Thailand werden es neun sein, wenn das neue Datenschutzgesetz im Laufe dieses Jahres in Kraft tritt.[18]

Wie wir gerne sagen, ergeben sich aus Schmerzpunkten meistens großartige Investitionsmöglichkeiten, und im Fall des Datenschutzes und der Einhaltung von Datenschutzvorschriften trifft dies ebenfalls zu zu. Laut Fortune Business Insights wird der Markt für Datenschutzsoftware von 1,12 Milliarden Dollar in 2020 auf 17,75 Milliarden Dollar im Jahr 2028 ansteigen.[19] Zu den Unternehmen, die Tools zur Verarbeitung von Verbraucherdaten gemäß den Regeln und Vorschriften des jeweiligen Landes anbieten, gehören IBM (IBM) sowie mehrere Privatunternehmen wie SureCloud, RSA Security, Ovaledge und OneTrust. Andere Lösungen, wie die Zugangsverwaltung, werden hingegen von Unternehmen wie Ping Identity (PING), OneSpan (OSPN) und (OKTA) angeboten. Wiederum andere, so beispielsweise Norton LifeLock (NLOK), kaufen Unternehmen auf, um ihr Produktangebot zu erweitern. Im Falle von Norton ist dies die Übernahme von Avast, womit die sicheren VPN- und Smart-Home-Sicherheits- und Datenschutzlösungen dieses Anbieters unter das Dach von Norton schlüpfen.

Da der Markt für Datenschutzsoftware wächst, werden Investoren wahrscheinlich miterleben, dass mehr als ein paar dieser privaten Unternehmen an die Börse gehen. Crunchbase hat Anfang des Jahres mehr als 200 Datenschutz-Startup-Unternehmen aufgelistet, die in Hunderten von einzelnen Finanzierungsrunden insgesamt mehr als 3,1 Milliarden US-Dollar eingesammelt haben.[20]  Wenn sich die Geschichte bewahrheitet, und wir haben keinen Grund anzunehmen, dass dies nicht der Fall sein wird, werden diese Investoren versuchen, diese Investitionen entweder durch Börsengänge oder aber Fusionen und Übernahmen zu monetarisieren. So oder so werden Investoren in den kommenden Jahren vermutlich noch viel mehr über Datenschutzsoftware zu hören bekommen als jetzt.

Dieser Beitrag wurde von Tematica Research LLC erstellt. Rize ETF Ltd. gibt keine ausdrücklichen oder stillschweigenden Zusicherungen oder Gewährleistungen hinsichtlich der Vollständigkeit, Genauigkeit, Zuverlässigkeit oder Eignung der in diesem Artikel enthaltenen Informationen.

Verwandter ETF:

RCRS: Rize Cybersecurity and Data Privacy UCITS ETF

Verweise:

[1] “Snap Inc. Q3 2021 Prepared Remarks” aufrufbar unter https://s25.q4cdn.com/442043304/files/doc_financials/2021/q3/Q3-2021-Prepared-Remarks.pdf

[2] “Tim Cook goes after Facebook in data privacy speech” aufrufbar unter https://www.inputmag.com/culture/tim-cook-goes-after-facebook-in-data-privacy-speech

[3] “Internet of Things (IoT) Market Forecast” aufrufbar unter https://www.mordorintelligence.com/industry-reports/internet-of-things-moving-towards-a-smarter-tomorrow-market-industry

[4] “Fines & Penalties for Non-Compliance with the CCPA” aufrufbar unter https://securiti.ai/blog/ccpa-fines/

[5]  “10 CCPA enforcement cases from the law’s first year” aufrufbar unter https://searchcompliance.techtarget.com/feature/10-CCPA-enforcement-cases-from-th-laws-first-year

[6] “GDPR Fines Exceed $1.1B in Q3” aufrufbar unter https://www.pymnts.com/news/regulation/2021/gdpr-fines-exceed-1b-in-q3/

[7] “Infrastructure Bill Delayed, Facebook’s Whistleblower Unveils, GDPR Fines Rise” aufrufbar unter https://broadbandbreakfast.com/2021/10/infrastructure-bill-delayed-facebooks-whistleblower-unveils-gdpr-fines-rise/?utm_source=rss&utm_medium=rss&utm_campaign=infrastructure-bill-delayed-facebooks-whistleblower-unveils-gdpr-fines-rise

[8] Ebd.

[9] “Federal privacy reform in Canada: The Consumer Privacy Protection Act” aufrufbar unter https://iapp.org/news/a/federal-privacy-reform-in-canada-the-consumer-privacy-protection-act/

[10]  “10 CCPA enforcement cases from the law’s first year” aufrufbar unter https://searchcompliance.techtarget.com/feature/10-CCPA-enforcement-cases-from-the-laws-first-year

[11] “California Privacy Rights Act (Proposition 24): A Summary of Key Changes” aufrufbar unter https://www.jdsupra.com/legalnews/february-2021-california-privacy-rights-3820156/

[12] Ebd.

[13] “US State Privacy Legislation Tracker” aufrufbar unter https://iapp.org/resources/article/us-state-privacy-legislation-tracker/

[14] “Cyber Security Breaches Survey 2021” aufrufbar unter https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2021/cyber-security-breaches-survey-2021

[15] “Stolen Patient Records a Hot Commodity on the Dark Web” aufrufbar unter https://capsuletech.com/blog/stolen-patient-records-a-hot-commodity-on-the-dark-web

[16] Ebd.

[17] “Healtcare data breach in Singapore affected 1.5m patients, targeted the prime minister”  Aufrufbar unter https://techcrunch.com/2018/07/20/singapore-hack-health/

[18] “Singapore introduces mandatory data breach notification requirements” aufrufbar unter https://kennedyslaw.com/thought-leadership/article/singapore-introduces-mandatory-data-breach-notification-requirements/

[19] “Data Privacy Software Market to Hit USD 17.75 Billion by 2028” aufrufbar unter https://www.globenewswire.com/en/news-release/2021/06/24/2252577/0/en/Data-Privacy-Software-Market-to-Hit-USD-17-75-Billion-by-2028-Rising-popularity-of-5G-Technology-to-Elevate-Industry-Fortune-Business-Insights.html

[20] “Privacy Startups” aufrufbar unter https://www.crunchbase.com/hub/privacy-startups