Millionenschwere DSGVO-Bußgelder in Großbritannien

Hohe Bußgelder gegen Hotelkette Marriott und British Airways

Veröffentlicht am: 26.07.2019

Von: ROSE & PARTNER Rechtsanwälte Steuerberater

Lesedauer:

Hohe Bußgelder gegen Hotelkette Marriott und British Airways

Ein Beitrag von Rechtsanwalt Thomas Repka

Die britische Datenschutzbehörde ICO (Information Commissioner’s Office) zeigt Zähne und geht konsequent gegen Datenschutzverstöße von großen Unternehmen vor. Dabei wird der Bußgeldrahmen weit ausgereizt. Die aktuelle Entwicklung zeigt, dass die „Angst“ vor hohen und teils existenzbedrohenden Bußgelder ein realistisches Szenario ist.

110 Millionen Euro Bußgeld gegen Marriott

Unter anderem muss sich die bekannte Hotelkette Marriott für Datenschutzverstöße verantworten. Gegenstand des Verfahrens ist ein Hack gegen die Reservierungsdatenbank des Mariott-Tochterunternehmens Starwood. Dritte hatten sich bereits 2014 Zugriff auf persönliche Daten von vermutlich 339 Millionen Kunden, darunter ca. 30 Millionen EU-Bürger, verschafft, u.a. auf Daten wie Namen und Adressen, aber teils auch auf sensible Daten wie Kreditkartennummern und Passdaten.

Marriott kaufte Starwood im Jahr 2016; bemerkte das Datenleck aber erst im November 2018. Vermutlich wurde in der Due Diligence im Rahmen der Geschäftsübernahme keine ausreichende Prüfung vorgenommen. Nach Ansicht des ICO sorgte Marriott auch danach nicht im ausreichenden Maße für die Sicherheit der IT-Systeme.

Die britischen Datenschützer wollen aufgrund dieser Datenschutzverstöße nun ein Bußgeld gem. Art. 83 Datenschutzgrundverordnung (DSGVO) in Höhe von 99,2 Millionen Britischen Pfund (umgerechnet etwa 110 Millionen Euro) verhängen. Die Hotelkette hat noch Gelegenheit, Stellung zur Höhe des Strafmaßes zu beziehen.

Haftungsrisiko Datenschutz in Unternehmenstransaktionen

Interessanter Aspekt dieser Entscheidung ist die Verantwortlichkeit des Käufers bei einem Unternehmenskauf für Verstöße gegen den Datenschutz des gekauften Unternehmens. ICO-Chefin Elizabeth Denham betonte, dass die Pflicht zum Schutz der Daten nach der DGSVO auch solche Fälle von Übernahmen umfasse. Vor diesem Hintergrund wird das Thema Datenschutz im Rahmen von M&A-Transaktionen wohl zukünftig eine (noch) größere Rolle spielen.

Noch höhere Strafe für British Airways

Für die British Airways kommt es noch dicker. Die ICO verhängte gegen die Fluggesellschaft ein Bußgeld von 183,39 Millionen Britische Pfund, umgerechnet ein britisches Rekord-Bußgeld von 204 Millionen Euro!

Auch hier wurden personenbezogene Daten von Kunden von British Airways bei einem Cyber-Angriff im Jahr 2018 abgegriffen, darunter Namen, E-Mail-Adressen und Kreditkarteninformationen mitsamt Sicherheitscodes (CVV-Codes). Rund 500.000 Kunden sollen betroffen sein. Zwar meldete das Unternehmen das Datenleck am 6. September 2018, teilte aber zunächst mit, dass nur etwa 380.000 Kundendaten betroffen seien. Die ICO stellte bei ihrer anschließenden Untersuchung nicht nur fest, dass deutlich mehr Kundendaten betroffen waren, sondern auch, dass eine Reihe von Sicherheitsvorkehrungen zum Schutz von Kundendaten in den IT-Systemen von British Airways unzureichend waren und nicht den Anforderungen der DSGVO entsprachen.

Kooperation bei Datenleck mit den Behörden

Nach Angaben der ICO zeigte sich das Unternehmen während der Untersuchung kooperativ und verbesserte eine Reihe von Sicherheitsvorkehrungen. Auch dieses Bußgeld ist noch nicht rechtskräftig. British Airways hat noch Gelegenheit, Rechtsmittel einzulegen und hat auch bereits angekündigt, alle geeigneten rechtlichen Schritte einzuleiten.

Der richtige Umgang bei der Zusammenarbeit mit den Datenschutzbehörden nach einem Datenleck wirkt sich in aller Regel strafmildernd aus. Sollte ein Cyber-Angriff oder ein Hack bekannt werden, tickt zudem die Uhr. Es besteht eine Pflicht zur entsprechenden Meldung bei der Datenschutzbehörde innerhalb von 72 Stunden (Art. 33 DSGVO). Es empfiehlt sich, sich bereits vor der Meldung rechtlich beraten zu lassen. Eine fehlerhafte Meldung kann sich – wie im Fall von British Airways – negativ auswirken und zu einem deutlich höheren Bußgeld führen.

Und in Deutschland?

Die Aufsichtsbehörden in Deutschland hingegen sind bislang eher zurückhaltend, was die Höhe von Bußgeldern angeht. Gleichwohl laufen Kontrolloffensiven der Datenschutzaufsicht, die in Deutschland Ländersache ist. Dass auch in Deutschland bald Bußgelder in Millionenhöhe verhängt werden, dürfte nur eine Frage der Zeit sein.

Cookie	Beschreibung
_gcl_au	This cookie is used by Google Analytics to understand user interaction with the website.
_ga	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
_gat	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.
_gat_UA-4305110-1	This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.
_fbp	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
fr	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.