Millionenschwere DSGVO-Bußgelder in Großbritannien
Hohe Bußgelder gegen Hotelkette Marriott und British Airways
Hohe Bußgelder gegen Hotelkette Marriott und British Airways
Ein Beitrag von Rechtsanwalt Thomas Repka
Die britische Datenschutzbehörde ICO (Information Commissioner’s Office) zeigt Zähne und geht konsequent gegen Datenschutzverstöße von großen Unternehmen vor. Dabei wird der Bußgeldrahmen weit ausgereizt. Die aktuelle Entwicklung zeigt, dass die „Angst“ vor hohen und teils existenzbedrohenden Bußgelder ein realistisches Szenario ist.
110 Millionen Euro Bußgeld gegen Marriott
Unter anderem muss sich die bekannte Hotelkette Marriott für Datenschutzverstöße verantworten. Gegenstand des Verfahrens ist ein Hack gegen die Reservierungsdatenbank des Mariott-Tochterunternehmens Starwood. Dritte hatten sich bereits 2014 Zugriff auf persönliche Daten von vermutlich 339 Millionen Kunden, darunter ca. 30 Millionen EU-Bürger, verschafft, u.a. auf Daten wie Namen und Adressen, aber teils auch auf sensible Daten wie Kreditkartennummern und Passdaten.
Marriott kaufte Starwood im Jahr 2016; bemerkte das Datenleck aber erst im November 2018. Vermutlich wurde in der Due Diligence im Rahmen der Geschäftsübernahme keine ausreichende Prüfung vorgenommen. Nach Ansicht des ICO sorgte Marriott auch danach nicht im ausreichenden Maße für die Sicherheit der IT-Systeme.
Die britischen Datenschützer wollen aufgrund dieser Datenschutzverstöße nun ein Bußgeld gem. Art. 83 Datenschutzgrundverordnung (DSGVO) in Höhe von 99,2 Millionen Britischen Pfund (umgerechnet etwa 110 Millionen Euro) verhängen. Die Hotelkette hat noch Gelegenheit, Stellung zur Höhe des Strafmaßes zu beziehen.
Haftungsrisiko Datenschutz in Unternehmenstransaktionen
Interessanter Aspekt dieser Entscheidung ist die Verantwortlichkeit des Käufers bei einem Unternehmenskauf für Verstöße gegen den Datenschutz des gekauften Unternehmens. ICO-Chefin Elizabeth Denham betonte, dass die Pflicht zum Schutz der Daten nach der DGSVO auch solche Fälle von Übernahmen umfasse. Vor diesem Hintergrund wird das Thema Datenschutz im Rahmen von M&A-Transaktionen wohl zukünftig eine (noch) größere Rolle spielen.
Noch höhere Strafe für British Airways
Für die British Airways kommt es noch dicker. Die ICO verhängte gegen die Fluggesellschaft ein Bußgeld von 183,39 Millionen Britische Pfund, umgerechnet ein britisches Rekord-Bußgeld von 204 Millionen Euro!
Auch hier wurden personenbezogene Daten von Kunden von British Airways bei einem Cyber-Angriff im Jahr 2018 abgegriffen, darunter Namen, E-Mail-Adressen und Kreditkarteninformationen mitsamt Sicherheitscodes (CVV-Codes). Rund 500.000 Kunden sollen betroffen sein. Zwar meldete das Unternehmen das Datenleck am 6. September 2018, teilte aber zunächst mit, dass nur etwa 380.000 Kundendaten betroffen seien. Die ICO stellte bei ihrer anschließenden Untersuchung nicht nur fest, dass deutlich mehr Kundendaten betroffen waren, sondern auch, dass eine Reihe von Sicherheitsvorkehrungen zum Schutz von Kundendaten in den IT-Systemen von British Airways unzureichend waren und nicht den Anforderungen der DSGVO entsprachen.
Kooperation bei Datenleck mit den Behörden
Nach Angaben der ICO zeigte sich das Unternehmen während der Untersuchung kooperativ und verbesserte eine Reihe von Sicherheitsvorkehrungen. Auch dieses Bußgeld ist noch nicht rechtskräftig. British Airways hat noch Gelegenheit, Rechtsmittel einzulegen und hat auch bereits angekündigt, alle geeigneten rechtlichen Schritte einzuleiten.
Der richtige Umgang bei der Zusammenarbeit mit den Datenschutzbehörden nach einem Datenleck wirkt sich in aller Regel strafmildernd aus. Sollte ein Cyber-Angriff oder ein Hack bekannt werden, tickt zudem die Uhr. Es besteht eine Pflicht zur entsprechenden Meldung bei der Datenschutzbehörde innerhalb von 72 Stunden (Art. 33 DSGVO). Es empfiehlt sich, sich bereits vor der Meldung rechtlich beraten zu lassen. Eine fehlerhafte Meldung kann sich – wie im Fall von British Airways – negativ auswirken und zu einem deutlich höheren Bußgeld führen.
Und in Deutschland?
Die Aufsichtsbehörden in Deutschland hingegen sind bislang eher zurückhaltend, was die Höhe von Bußgeldern angeht. Gleichwohl laufen Kontrolloffensiven der Datenschutzaufsicht, die in Deutschland Ländersache ist. Dass auch in Deutschland bald Bußgelder in Millionenhöhe verhängt werden, dürfte nur eine Frage der Zeit sein.