9. November 2020
DSGVO Bußgeld British Airways und Marriott
Datenschutzrecht

DSGVO-Bußgelder: statt 310 „nur″ EUR 42 Mio.

Anstelle der angekündigten Rekord-DSGVO-Bußgelder verhängt die ICO deutlich geringere Strafen gegen British Airways und Marriott. Das sind die Hintergründe.

Groß war der Aufruhr, als die britische Datenschutzbehörde ICO (Information Commissioner’s Office) im Juli 2019 ein rekordverdächtiges Bußgeld in der Höhe von umgerechnet EUR 200 Mio. gegen British Airways ankündigte. Tags darauf der zweite Paukenschlag: Die ICO stellte in einer Pressemitteilung ein DSGVO-Bußgeld von umgerechnet rund EUR 110 Mio. gegen die Hotelkette Marriott in Aussicht. „Jetzt aber″ raunte es durch die Reihen der Datenschutzgemeinde.

Nun die große Überraschung: Die im Oktober 2020 verhängten Bußgelder fallen mit EUR 22 Mio. beziehungsweise EUR 20 Mio. deutlich geringer aus als erwartet. Was ist da passiert?

Mangelhafte Datensicherheit als Basis für auferlegte DSGVO-Bußgelder

In beiden Fällen führten ungenügende IT-Sicherheitsmaßnahmen zu den Sanktionen der ICO. Die DSGVO schreibt in Artikel 32 vor, dass bei der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen getroffen werden müssen, um die Datensicherheit zu gewährleisten.

Wie die Datenschutzbehörde in einer Pressemitteilung vom 16. Oktober 2020 ausführt, konnten Hacker 2018 die Daten von über 400.000 Kunden von British Airways abgreifen. Besonders unangenehm für die Betroffenen: Unter den gestohlenen Daten befanden sich auch Kreditkarteninformationen. Schlimmer noch, die Cyber-Attacke blieb über Monate unentdeckt. Erst durch den Hinweis eines Dritten wurde British Airways auf den Angriff aufmerksam. Nach Angaben der ICO hatte es die Fluggesellschaft unterlassen, wirksame Maßnahmen zu treffen, um einen solchen Angriff zu verhindern.

Der Hotelkonzern Marriott war ebenfalls Ziel eines Cyber-Angriffs. Der Pressemitteilung der ICO vom 30. Oktober 2020 ist zu entnehmen, dass zwischen 2014 und 2018 die Daten von schätzungsweise 339 Millionen Gästen der Hotelkette Starwood Hotels and Resorts abgegriffen wurden. Dieser Angriff blieb auch nach der Übernahme von Starwood durch den Marriott-Konzern zunächst unbemerkt. Die Hacker konnten in dieser Zeit ungestört an heikle Daten wie Reisepassnummern der Gäste und Informationen zu deren Aufenthalt gelangen.

Mildere Strafen dank COVID-19: ICO berücksichtigt u.a. ökonomische Folgen der DSGVO-Bußgelder

Die Datenschutzbehörden können für Datenschutzverletzungen gemäß der DSGVO Bußgelder von bis zu 20 Millionen Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorausgegangenen Geschäftsjahres aussprechen. Auch die aktuelle finanzielle Situation eines Unternehmens spielt unter Umständen eine Rolle.

Sowohl die Fluggesellschaft British Airways als auch der Hotelkonzern Marriott gehören der von der COVID-19-Pandemie arg gebeutelten Reisebranche an. So erklärt die ICO einen Teil der Reduktion in der Höhe der DSGVO-Bußgelder mit den drastischen wirtschaftlichen Folgen der Pandemie auf die Geschäftstätigkeit der beiden Unternehmen. Durch ihre Regulatory Action Policy ist die ICO verpflichtet, bei der Festlegung eines Bußgeldes auch die ökonomischen Folgen für das Unternehmen zu berücksichtigen und zu bedenken, ob sich das sanktionierte Unternehmen das Bußgeld überhaupt leisten kann.

Neben der aktuellen Pandemiesituation führten weitere Faktoren dazu, dass die ICO die enormen Bußgelder stark abmilderte. Die Behörde hob dabei besonders die Verstärkung der IT-Sicherheitsmaßnahmen hervor. Sowohl British Airways als auch Marriott hatten bei der Datensicherheit nach den Cyber-Attacken merklich aufgerüstet. Im Fall von Marriott lobte die Datenschutzbehörde zudem die schnelle Reaktion nach Bekanntwerden des Datenlecks. Marriott hatte umgehend die betroffenen Gäste und die ICO informiert und auch Maßnahmen ergriffen, um die Folgen für die Betroffenen abzumildern.

Unternehmen müssen weiterhin hohe Bußgelder bei DSGVO-Verstößen befürchten

Auch wenn es nun doch keine dreistelligen Millionenbeträge geworden sind, landeten die beiden Sanktionen gegen British Airways und Marriott dennoch in den Top 5 der europaweit höchsten DSGVO-Bußgelder. Dies zeigt ein Blick in den aktuellen CMS Enforcement Tracker Report, in dem hunderte DSGVO-Bußgelder aus der EU und UK analysiert werden.

Der Enforcement Tracker Report zeigt, dass die schwachen IT-Sicherheitsmaßnahmen bei British Airways und Marriott keineswegs einen Einzelfall darstellen. Mängel bei der Datensicherheit bilden einen der häufigsten Gründe, aus denen Datenschutzbehörden Bußgelder aussprechen. Ähnlich häufig hapert es bei der Rechtmäßigkeit der Datenverarbeitung. Gerade Datenschutzverstöße in diesen beiden Bereichen führten nicht nur zu den meisten, sondern auch zu den höchsten DSGVO-Bußgeldern.

Das mit über EUR 35 Mio. bislang höchste DSGVO-Bußgeld in Deutschland verhängte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im Oktober 2020 gegen H&M – also ebenfalls mitten in der COVID-19-Pandemie. Laut Pressemitteilung kam es bei H&M zu einer schweren Missachtung des Beschäftigtendatenschutzes, die ein entsprechend hohes Bußgeld zur Folge hatte. Unternehmen sollten sich daher beim Datenschutz nicht auf allzu viel Milde der Behörden angesichts der COVID-19-Situation verlassen. Die datenschutzrechtlichen Vorgaben sind auch in der aktuellen Pandemiesituation unbedingt einzuhalten.

Wirksamer Datenschutz muss denn auch nicht unbedingt teuer sein. Die ICO stellte im Fall von British Airways klar, dass mit geringem finanziellem und technischem Aufwand zahlreiche IT-Sicherheitsmaßnahmen hätten getroffen werden können. Diese hätten eine derartige Cyber-Attacke verhindern oder deren Folgen zumindest abmildern können. Unternehmen sollten daher ihre Datenschutzkonzepte regelmäßig überprüfen und bei Bedarf nachbessern. So können sie das Risiko minimieren, im aktuell schwierigen wirtschaftlichen Umfeld auch noch ein saftiges DSGVO-Bußgeld zu kassieren.

Tags: British Airways Bußgeld DSGVO ICO Marriott