Fast alle Unternehmen schützen persönliche Daten ihrer Kunden nicht ausreichend. Ab Mai 2018 drohen ihnen dafür drakonische Strafen.

Der nackte Bieber ist wieder aufgetaucht. Ende August sorgten Fotos für Aufregung, die Popstar Justin Bieber ohne Badehose zeigen. Die zwei Jahre alten Paparazzi-aufnahmen erschienen auf der Instagram-Seite seiner einstigen Flamme Selena Gomez. Hacker hatten den Account der Internetikone, den 128 Millionen Fans rund um den Globus regelmäßig anklicken, gekapert und die Schnappschüsse von Justin dort eingestellt.

Eine Schwachstelle in der Software der Facebook-Tochter verschaffte den Cyberkriminellen Zugang zu den Daten von Millionen Nutzern. Im Anschluss an ihren digitalen Diebstahl boten sie über eine Seite namens Doxagram für jeweils zehn Dollar Telefonnummern und Mailadressen von rund 1000 Promis an - darunter jene von Designerin Victoria Beckham, den Musikerinnen Beyoncé und Adele sowie den Fußballern Zinedine Zidane und Neymar.

Ziemlich blöd für die VIPs. Für Instagram-Mitgründer Mike Krieger indes hielten sich die Folgen des Hacks in Grenzen. Er bat um Verzeihung - "Very sorry this happened" - und ertrug den Spott der Branche.

Noch kommen Unternehmen damit durch. Ab kommendem Frühjahr aber kratzt die Verletzung von Persönlichkeitsrechten nicht mehr nur am Image. Dann macht sich strafbar, wer nicht für die Sicherheit privater Daten sorgt. Zumindest bei EU-Bürgern wie dem Franzosen Zidane. Ob die attackierte Firma in Europa sitzt, im Silicon Valley oder in China, ist irrelevant.

Die Datenschutz-Grundverordnung (DSGVO) der EU, die am 25. Mai 2018 finale Rechtskraft erlangt, kennt keine Kompromisse. Wer ab diesem Tag gegen die Regeln für den Umgang mit personen- bezogenen Informationen von EU-Bürgern verstößt, dem drohen drakonische Strafen. Die Übergangsfrist ist dann abgelaufen.

Die zuständige Justiz- und Verbraucherschutzkommissarin Vera Jourová hat bereits effiziente "Durchsetzungsmöglichkeiten" für die Behörden in den 28 Mitgliedstaaten angekündigt: "Die Bußgelder können sich auf bis zu 4 Prozent des Jahresumsatzes belaufen." Als Grundlage dient der Gesamterlös eines Konzerns, nicht nur der Umsatz der Vertriebstochter vor Ort. Das Gesetz hat also das Potenzial, Firmen, die ihre IT nicht in den Griff bekommen, auszuschalten.

Mit den schmerzhaften Sanktionen will Brüssel sicherstellen, dass die Regeln auch wirklich eingehalten werden. "Eine abschreckende Wirkung bei Verstößen ist explizit gewünscht", warnt Katharina Küchler, Anwältin beim Internetverband Eco.