DSGVO: Rekordbußgelder gegen British Airways und Marriott
Nachdem in Deutschland nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) bei Bußgeldern wegen Datenschutzverstößen der neue Bußgeldrahmen bisher nicht ausgeschöpft wurde, kündigte im Juli 2019 die britische Datenschutzaufsichtsbehörde (ICO) gegen die Fluggesellschaft British Airways ein Bußgeld in Höhe von ca. 200 Millionen Euro (rund 1,5 % des Jahresumsatzes) an. Dies stellt eine neues Rekordbußgeld dar, das noch erheblich höher ist als das von der französischen Behörde im Jahr 2018 gegen Google verhängte Bußgeld in Höhe von 50 Millionen Euro. Ebenfalls im Juli machte die britische Aufsichtsbehörde bekannt, dass sie beabsichtigt gegen die Hotelkette Marriott ein Bußgeld in Höhe von 110 Millionen Euro zu verhängen.
Angesichts der Bußgelder in dieser Größenordnung zeigt sich, dass sich die von Unternehmen bisher getätigten Investitionen in Datenschutz und IT-Sicherheit auch finanziell auszahlen können. Für Unternehmen, die sich bislang unzureichend um die Umsetzung der Vorgaben der DSGVO gekümmert haben, sollten die hohen Bußgelder eine Warnung und Aufforderung zum Handeln sein.
Im Fall der British Airways führte Nachlässigkeit beim Thema Daten- und IT-Sicherheit zu dem angekündigten Rekordbußgeld. Es mangelte am Schutz der Daten vor dem Zugriff durch unbefugte Dritte. So konnten Hacker durch eine Sicherheitslücke im Online-Buchungssystem von British Airways an Daten von ca. 500.000 Kunden gelangen. Davon waren unter anderem auch Kreditkarteninformationen inklusive Sicherheitscodes (CVV-Nummern) betroffen. Die britische Datenschutzbeauftragte Elisabeth Denham stellte klar, dass der Schutz von persönlichen Daten vor Verlust, Schaden oder Diebstahl stets gewährleistet sein muss – und dass dies im Fokus der Aufsichtsbehörden steht.
Doch damit nicht genug: die britischen Aufsichtsbehörden kündigten nur wenige Tage nach Bekanntwerden des gegen British Airways verhängten Bußgelds ein weiteres Bußgeld in Höhe von 110 Millionen Euro gegen die Hotelkette Marriott an. So konnten Unberechtigte bereits seit mehreren Jahren auf Daten von Marriott-Kunden zugreifen. Dies betraf insbesondere neben Informationen wie Namen und Adressen auch besonders schützenswerte Pass- und Kreditkartendaten. Es wird geschätzt, dass rund 339 Millionen Kunden betroffen sind.
Die zu Grunde liegende Sicherheitslücke geht nach bisherigem Kenntnisstand auf die Übernahme des Hotelkettenbetreibers Starwood durch Marriott im Jahr 2016 zurück. Dabei wurde die technische Infrastruktur von Starwood integriert, ohne dass diese zuvor auf Sicherheitsrisiken überprüft wurde. Die bereits bei Starwood bestehende Sicherheitslücke blieb daher unerkannt und fiel erst im Jahr 2018 auf.
Deutlich wird, dass vor der Übernahme eines Unternehmens auch datenschutzrechtliche Risiken, beispielsweise im Rahmen einer Due-Diligence Prüfung, analysiert und bewertet werden müssen.
Sowohl das Bußgeld gegen British Airways als auch gegen Marriott zeigen, dass der datenschutzrechtlich Verantwortliche hohe Sorgfalt – und gegebenenfalls auch Vorsicht – bei der Meldung einer Datenschutzpanne (nach Art. 33 DSGVO) an den Tag legen sollte. So sind sowohl British Airways als auch Marriott ihrer Meldepflicht nachgekommen und haben die Datenschutzpanne selbst bei der Behörde gemeldet. Erst hierdurch wurde das Verfahren in Gang gesetzt.
Unternehmen sollten sich zum einen ihrer Meldepflicht bewusst sein und sich zum anderen bereits vor der Meldung an die Aufsichtsbehörde rechtlich beraten lassen. Erste Erfahrungen mit deutschen Aufsichtsbehörden – etwa im Fall Knuddels – zeigen, dass sich die Kooperation mit den Aufsichtsbehörden auszahlen kann.
Für alle Unternehmen, die personenbezogene Daten im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) verarbeiten, wird deutlich, dass das Bußgeldrisiko nicht auf die leichte Schulter genommen werden sollte.
Datenschutz beschränkt sich nicht auf den Abschluss von Auftragsverarbeitungsverträgen, sondern sollte in Unternehmen stets mitgedacht werden. Dies heißt beispielsweise, dass Privay-by-Design und Privacy-by-Default bei der Entwicklung und Nutzung von IT-Systemen von Anfang an zu beachten sind. Nur so kann „Cybersecurity“ sichergestellt und Schutz vor Hacker-Angriffen und Cyber-Kriminalität gewährleistet werden.
Haben Sie Fragen zu diesem Thema? Brauchen Sie rechtliche Beratung im Hinblick auf Datenschutz und Datensicherheit? Haben sie Post von der Behörde bekommen oder brauchen Hilfe in einem Bußgeldverfahren?
Vertrauen Sie auf unsere Erfahrung im Bereich Datenschutzrecht!