In relativ kurzer Zeit hat die britische Datenschutzaufsichtsbehörde ICO zwei Erklärungen hinsichtlich möglicher Bußgelder veröffentlicht. Die Fluggesellschaft British Airways könnte ein Bußgeld in Höhe von 183 Millionen Pfund erhalten. Die Hotelkette Marriott könnte ein vergleichbar niedriges Bußgeld in Höhe von 99 Millionen Pfund drohen. Was geschehen ist und wieso dies datenschutzrechtlich relevant ist, lesen Sie hier.
Der Inhalt im Überblick
Das Rekord-Bußgeld
Die britische Fluggesellschaft British Airways könnte 1,5 % ihres weltweiten Umsatzes des Jahres 2017 in Form eines Bußgelds für einen Datenschutzvorfall zahlen.
Im September 2018 meldete die Fluggesellschaft British Airways der britischen Datenschutzbehörde ICO einen Datenschutzvorfall nach Art. 33 DSGVO. Anscheinend konnten Dritte über zwei Datenlecks im Online-Buchungssystem an die persönlichen Daten von über 500.000 Kunden zugreifen. Unter anderen waren dies personenbezogene Daten wie Namen, Adressen, E-Mail-Adressen als auch Zahlungsdaten.
„Schwache Sicherheitsvorkehrungen“
Die Untersuchung der ICO hat ergeben, dass eine Vielzahl von Informationen durch schlechte Sicherheitsvorkehrungen im Unternehmen der British Airways verursacht wurde.
Die Informations-Kommissarin Elizabeth Denhamn äußerte sich in einem Statement dazu:
„Die persönlichen Daten der Menschen sind genau das – persönlich. Wenn ein Unternehmen es nicht schafft, es vor Verlust, Beschädigung oder Diebstahl zu schützen, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar, wenn Sie mit personenbezogenen Daten konfrontiert werden, müssen Sie sich darum kümmern. Diejenigen, die es nicht tun, werden von meinem Büro aus kontrolliert, um zu überprüfen, ob sie geeignete Maßnahmen zum Schutz der Grundrechte auf Privatsphäre ergriffen haben.“
Der Fall Marriott
Die Hotelkette Marriott hat ebenfalls bereits Bekanntschaft mit der britischen Datenschutzaufsichtsbehörde machen dürfen und könnte ein Bußgeld in Höhe von 99.200.396 Pfund erhalten. Dies entspricht ca. 3 Prozent des weltweiten Umsatzes des Unternehmens.
Im November 2018 hatte die Hotelkette einen Datenschutzvorfall nach Art. 33 DSGVO gemeldet, bei dem eine Vielzahl von personenbezogenen Daten, rund 339 Millionen Gästeaufzeichnungen weltweit, durch einen Vorfall preisgegeben wurden. Im Europäischer Wirtschaftsraum waren davon „nur“ etwa 30 Millionen Bürger aus allen 31 Mitgliedsstaaten betroffen. Interessant ist, dass die Schwachstellen bei einem Kauf der Hotelgruppe Starwood im Jahr 2016 erst 2018 aufgefallen sind. Hierbei hat die Hotelgruppe Marriott ihre Sorgfaltspflicht bei der Unternehmensprüfung missachtet.
Geeignete Maßnahmen zum Schutz der Grundrechte
Bei der Verarbeitung von personenbezogenen Daten haben Verantwortliche die Grundsätze der DSGVO zu wahren. Hierbei definiert Art. 5 Abs. 1 lit. f DSGVO genau, dass personenbezogene Daten verarbeitet werden dürfen, wenn eine angemessene Sicherheit dieser gewährleistet wird. Hierfür sollen insbesondere geeignete technische und organisatorische Maßnahmen eingesetzt werden, um vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust zu schützen.
Gegen diesen Grundsatz haben beide verstoßen. So kam es, dass die personenbezogenen Daten der Kunden durch Dritte unbefugt verarbeitet wurden. Die technischen und organisatorischen Maßnahmen sind demnach nicht ausreichend gestaltet, um solch ein Risiko entsprechend entgegenzuwirken. Die hat zur Folge, dass sie den in Art. 5 DSGVO normierten Grundsätzen der Datenverarbeitung nicht entsprechen.
Die Höhe des Rekordbußgelds lässt sich insofern erklären, dass die Airline gegen einen Grundsatz der Verarbeitung verstoßen hat und dadurch eine große Menge an Betroffenen in ihren Rechten verletzt wurde.
War’s das?
Sowohl British Airways als auch die Hotelkette Marriott haben während der Untersuchung mit der ICO zusammengearbeitet und die Sicherheitsvorkehrungen seit Bekanntwerden der Ereignisse verbessert. Beide haben nun die Möglichkeit, innerhalb von 21 Tagen gegenüber der ICO zu den vorgeschlagenen Feststellungen und den Bußgeldern Stellung zu nehmen. Erst danach wird die ICO abschließend über die Höhe des Bußgelds entscheiden.
Sowohl Willie Walsh, Chief Executive Officer der International Airline Group und Mutter der British Airline, als auch Arne Sorenso, Chief Executive Officer von Marriott International, haben bereits angekündigt, diese Möglichkeit zu Nutzen und werden wohl auch darüber hinaus weitere Rechtsbehelfe einlegen. Es bleibt also spannend zu sehen, was am Ende der Verfahren von den Rekordbußgeldern der britischen Datenschutzaufsichtsbehörde übrigbleibt.
Auch wenn es sicherlich zu geringeren Bußgeldern kommen wird („abschreckend“ jedoch „verhältnismäßig“), schön zu sehen, dass sogar in Großbritannien dem DS Geltung verliehen wird!
evtl. bessere Schreibweisen der möglichen Bußgelder:
99.200,396 Pfund -> 99.200.396 Pfund oder 99,2 Millionen Pfund
183.390 Millionen Pfund -> 183,39 Milliarden Pfund
Hallo,
hier der Hinweis, dass die EU lediglich über 28 Mitgliedsstaaten verfügt. Es können also keine „30 Millionen Bürger aus 31 Mitgliedsstaaten betroffen“ sein.
LG
Vielen Dank für den Hinweis. Das war etwas missverständlich formuliert. Der Begriff Europa meinte hier nicht nur die Europäische Union, sondern den Europäischen Wirtschaftsraum, da in diesem die DSGVO gilt. Wir haben den Text entsprechend angepasst.