Das ICO kündigt an, Bußgelder gegen British Airways und Marriott zu verhängen. Was ist passiert, wie geht es weiter?
Von Gail Crawford, Tim Wybitul, Dr. Wolf-Tassilo Böhm, Fiona Maclean, Hayley Pizzey, Calum Docherty, Joachim Grittmann und Dr. Isabelle Brams
Am 8. Juli 2019 kündigte das Information Commissioner’s Office (ICO) an, gegen British Airways wegen eines Verstoßes gegen die EU Datenschutz-Grundverordnung (DSGVO) ein Bußgeld in Höhe von 183,39 Millionen Britischen Pfund (rund 204 Millionen Euro) zu verhängen. Das ICO ist die Datenschutzaufsichtsbehörde des Vereinigten Königreichs. Das angekündigte Bußgeld ist das bisher höchste unter der DSGVO. Es entspricht laut der Financial Times etwa 1,5 Prozent des weltweiten Umsatzes von British Airways im Jahr 2017. Der Ankündigung ging eine monatelange Untersuchung des ICO voraus. Anlass der Untersuchung war eine von British Airways an das ICO im September 2018 gemeldete Datenschutzverletzung. Gegenstand der Meldung war ein Sicherheitsvorfall, der unter anderem den Diebstahl von Kundendaten zur Folge hatte.
Am 9. Juli 2019 gab das ICO zudem bekannt, dass es beabsichtigt, auch gegen Marriott International wegen Verstößen gegen die DSGVO ein Bußgeld zu verhängen. In diesem Verfahren soll das Bußgeld 99,2 Millionen Britischen Pfund (rund 110 Millionen Euro) betragen. Laut Wall Street Journal entspricht das angedrohte Bußgeld etwa 2,5 Prozent des weltweiten Umsatzes von Marriott. Bei Marriotts Tochtergesellschaft Starwood war es ebenfalls zu einem erheblichen Datenschutzverstoß gekommen. Marriott hatte Starwood im Jahr 2016 erworben. Marriott hatte die Datenschutzverletzung im November 2018 bekannt gemacht. Das ICO hatte diese Meldung als Anlass für eine umfangreichere Prüfung bei Marriott genommen.
Warum veröffentlichte das ICO die Absichtserklärungen?
Normalerweise veröffentlicht das ICO Absichtserklärungen in Bezug auf die geplante Verhängung von Bußgeldern nicht. Eine Veröffentlichung kommt aber dann in Betracht, wenn entweder (i) ein überwiegendes öffentliches Interesse besteht, (ii) sich alle Parteien über die Veröffentlichung einig sind, (iii) die Angelegenheit, bereits öffentlich bekannt ist, (iv) Berichtspflichten auf dem Finanzmarkt bestehen, (v) eine Veröffentlichung für Zwecke der internationalen Zusammenarbeit auf Behördenebene notwendig ist oder (vi) die Veröffentlichung der Verbesserung des Schutzes der Allgemeinheit vor Bedrohungen dient.
Nach eigenen Aussagen hatte das ICO selbst kein eigenes Interesse an der Veröffentlichung der beiden Absichtserklärungen. Daher hatte das ICO Marriott und British Airways zunächst vertrauliche Stellungnahmen zu den angedrohten Bußgeldern zukommen lassen. Allerdings unterliegen die beiden Unternehmen finanzmarktrechtlichen Publizitätspflichten. Dies machte vorliegend eine Offenlegung der angedrohten Bußgelder erforderlich. Dementsprechend entschieden sich die Unternehmen selbst für eine Veröffentlichung der vom ICO übermittelten Absichtserklärungen. Die vom ICO daraufhin veröffentlichen Absichtserklärungen enthalten zudem keinen vollständigen Abdruck der gegenüber den Unternehmen bereits versandten vertraulichen Stellungnahmen.
Welche DSGVO-Verstöße liegen den Bußgeldern zugrunde?
Der Fall British Airways
Berichten zufolge bezieht sich die Datenschutzverletzung durch British Airways auf einen Cyberangriff auf die Webseite und die App der Fluggesellschaft. Bei diesem Angriff hätten Hacker die Kunden von British Airways auf eine betrügerische Webseite umgeleitet, um Kundeninformationen zu sammeln. Von dem Vorfall waren rund 500.000 Personen betroffen. Zu den Kategorien der gefährdeten personenbezogenen Daten gehören Berichten zufolge: Kundennamen, Postanschriften, E-Mail-Adressen, Log-in-Daten, Kreditkartendaten (einschließlich Kartenprüfnummern (sog. CVV)) und Buchungsinformationen.
British Airways hatte das ICO im September 2018 über den Vorfall informiert. Die Behörde geht davon aus, dass der Cyberangriff vermutlich im Juni 2018 begonnen hatte. British Airways hatte in öffentlichen Berichten hingegen erklärt, dass sich die Datenschutzverletzung im Zeitraum vom 21. August 2018 bis 5. September 2018 ereignet habe. Nach Ansicht des ICO hatten „schlechte Sicherheitsvorkehrungen“ des Unternehmens zu dem Sicherheitsvorfall geführt. Folglich hatte das ICO im Rahmen der Prüfung auch die internen Sicherheitsmaßnahmen des Unternehmens überprüft. Die Leiterin des ICO, Elizabeth Denham, erklärte hierzu: “The law is clear – when you are entrusted with personal data, you must look after it“.
Der Fall Marriott
Marriott erlangte erstmals im September 2018 davon Kenntnis, dass Daten aus seiner Datenbank für Gästebuchungen gestohlen worden waren. Marriott hatte im Rahmen des Kaufs der Starwood-Kette im Jahr 2016 eine kompromittierte Datenbank erworben. Der unbefugte Zugriff auf das Buchungssystem reicht anscheinend in das Jahr 2014 zurück. Von dem Sicherheitsvorfall waren über 300 Millionen Kunden betroffen, darunter 30 Millionen im Europäischen Wirtschaftsraum ansässige Personen. Zu den personenbezogenen Daten, die angeblich gestohlen wurden, gehören etwa Kundennamen, Postanschriften, Telefonnummern, Geburtsdaten, Geschlecht, E-Mail-Adressen, Zugangsdaten für das Treueprogramm, Reservierungsinformationen, fünf Millionen unverschlüsselte Passwörter und acht Millionen Kreditkartennummern.
Marriott nahm die kompromittierte Datenbank schrittweise außer Betrieb. Das Unternehmen geht nicht davon aus, dass sein eigenes Buchungssystem von dem Vorfall ebenfalls betroffen ist. Marriott hatte das ICO bei seinen Untersuchungen umfassend unterstützt. Zudem hatte das Unternehmen umfangreiche Maßnahmen unternommen, um sein internes IT-Sicherheitssystem zu verbessern.
Wie geht es mit den beiden Verfahren weiter?
Stellungnahmen und Konsultationen in den Bußgeldverfahren
British Airways und Marriott haben nun Gelegenheit, zu der jeweiligen Absichtserklärung des ICO Stellung zu nehmen. Die Unternehmen haben hierfür mindestens 21 Tage Zeit. Das ICO legt die genaue Frist in der jeweiligen Absichtserklärung fest. Die von den Unternehmen einzureichenden Stellungnahmen können sich unter anderem auf die Art und Weise beziehen, wie die jeweiligen Sicherheitsverstöße aufgetreten sind. Zudem können die Unternehmen in ihrer Stellungnahme mildernde Umstände vortragen. Dazu zählt unter anderem die Darstellung von zwischenzeitlich ergriffenen Maßnahmen zur Verbesserung der IT-Sicherheit oder von sonstigen beabsichtigten Abhilfemaßnahmen. Ferner können die Unternehmen in ihrer jeweiligen Stellungnahme Argumente dafür vortragen, warum das ICO nicht von seinen Befugnissen nach Art. 83 DSGVO Gebrauch machen sollte. Die Unternehmen können auch die Verhängung eines reduzierten Bußgeldes beantragen.
British Airways und Marriott haben inzwischen jeweils angekündigt, sich gegen die angedrohten Bußgelder verteidigen zu wollen.
Im Rahmen des in der DSGVO geregelten sogenannten One-Stop-Shop-Mechanismus zur Zusammenarbeit der Datenschutzbehörden bei grenzüberschreitenden Datenverarbeitungen teilt das ICO als federführende Aufsichtsbehörde seine Ergebnisse mit anderen betroffenen Aufsichtsbehörden in der Europäischen Union. Dies betrifft konkret die Aufsichtsbehörden in Ländern, in denen ebenfalls Personen von den Vorfällen betroffen sind. Eine entsprechende Abstimmung findet nach der Einreichung der jeweiligen Stellungnahmen durch British Airways und Marriott statt. Die anderen Aufsichtsbehörden haben dann ebenfalls Gelegenheit, zu den beabsichtigten Bußgeldern Stellung zu nehmen.
Klagen betroffener Kunden gegen Britisch Airways und Marriott
Unabhängig vom Ausgang des vom ICO eingeleiteten Bußgeldverfahrens besteht für British Airways ein zusätzliches Risiko in Form von Klagen betroffener Kunden. Berichten zufolge fordern Verbraucher in Sammelklagen im Durchschnitt jeweils bis zu 2.000 Britische Pfund.
Öffentliche Stellungnahmen lassen darauf schließen, dass sich bislang etwa 5.500 Personen der Sammelklage angeschlossen haben. Im Erfolgsfall könnte dies für British Airways zu zusätzlichen Kosten in Höhe von 11 Millionen Pfund führen. Falls sich sämtliche der 500.000 Betroffenen der Sammelklage anschließen, drohten British Airways theoretisch sogar finanzielle Belastungen von bis zu einer Milliarde Pfund.
Auch Marriott muss sich in den USA inzwischen gegen Sammelklagen von Verbrauchern zur Wehr setzen. Erste Forderungen belaufen sich auf bis zu 12,5 Milliarden US-Dollar Schadenersatz für 500 Millionen betroffene Kunden.
Welche Bedeutung haben die beiden Fälle für andere Unternehmen?
Die beiden Absichtserklärungen des ICO sind ein klares Anzeichen dafür, dass die britische Datenschutzaufsichtsbehörde sich nicht davor scheut, hohe Bußgelder zu verhängen. Die Androhung hoher Bußgelder soll Unternehmen dazu bewegen, effektive Maßnahmen zum Datenschutz und zur IT-Sicherheit zu ergreifen. Das ICO bekräftige insofern, dass Unternehmen Verantwortung für die bei ihnen gespeicherten Daten übernehmen müssen.
Die Absichtserklärung gegenüber Marriott macht zudem deutlich, dass Unternehmen die Themen Daten- und IT-Sicherheit vor der Übernahme eines Unternehmens sorgfältig prüfen sollten. Unternehmen sind daher gut beraten, dem Datenschutz und der IT-Sicherheit im Rahmen von M&A-Transaktionen sowie bei Due Diligence-Prüfungen besondere Bedeutung beizumessen.
Welche Auswirkungen können die beiden Verfahren auf die Bußgeldpraxis deutscher Datenschutzaufsichtsbehörden haben?
Das bislang höchste von einer deutschen Datenschutzaufsichtsbehörde wegen DSGVO-Verstößen verhängte Bußgeld fällt mit 80.000 Euro deutlich niedriger aus als die beiden vom ICO angekündigten Bußgelder. Auch im Vergleich mit anderen EU-Mitgliedsstaaten wirkt die Bilanz der deutschen Datenschutzaufsichtsbehörden auf den ersten Blick eher moderat. Derzeit sind jedoch eine Vielzahl von Bußgeldverfahren bei deutschen Datenschutzaufsichtsbehörden anhängig. Einige Datenschutzbehörden bauen aktuell Kapazitäten in ihren Bußgeldstellen auf. Gerade auch im Hinblick auf die angekündigten Rekordbußgelder des ICO und die Bußgeldpraxis anderer europäischer Datenschutzaufsichtsbehörden müssen sich Unternehmen auch in Deutschland künftig auf deutlich höhere Bußgelder einstellen.
*Der englischsprachige Originalbeitrag zu diesem Überblick wurde von Gail Crawford, Fiona Maclean, Hayley Pizzey und Calum Docherty am 12. Juli 2019 auf dem Latham & Watkins Global Privacy & Security Compliance Law Blog veröffentlicht.
Art. 15 Abs. 1 DSGVO gibt betroffenen Personen gegenüber dem Verantwortlichen ein Auskunftsrecht über die Verarbeitung ihrer personenbezogenen Daten. Weiterhin muss der Verantwortliche nach Art. 15 Abs. 3 DSGVO eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ stellen. Datenschutzexperten sind sich bislang nicht einig, wie weit diese Rechte betroffener Personen genau reichen. In einem ersten Urteil legte das Landesarbeitsgericht (LAG) Baden-Württemberg das Recht auf Auskunft und Kopie weit aus. Dies führte zu einiger Verunsicherung. Unternehmen fürchten, dass sie betroffenen Personen im Rahmen von Auskunftsverlangen zukünftig umfangreiche Datenbestände wie E-Mails und andere sie betreffende Dokumente herausgeben müssen. Unsere Analyse dieses Urteils 
Vor Inkrafttreten der DSGVO haben viele Unternehmen befürchtet, bei Datenschutzverstößen zukünftig mit Bußgeldern in Millionen- oder gar Milliardenhöhe rechnen zu müssen. Zumindest in Deutschland scheint sich diese Befürchtung auf den ersten Blick jedenfalls bislang noch nicht bewahrheitet zu haben. Grund zur Entwarnung besteht allerdings dennoch nicht.
Am 18. Juni 2019 hat der Berliner Senat ein Eckpunktepapier über Details eines geplanten fünfjährigen Mietendeckels für Wohnimmobilien in der Hauptstadt veröffentlicht. Der Mietendeckel würde die bereits bestehenden Beschränkungen für Mieterhöhungen erheblich verschärfen. Die Berliner Regierung will das entsprechende Gesetz noch in diesem Jahr verabschieden, in Kraft treten soll es spätestens im Januar 2020.
Art. 15 Abs. 1 DSGVO gibt natürlichen Personen ein Auskunftsrecht über die Verarbeitung ihrer personenbezogenen Daten. Das für eine Datenverarbeitung verantwortliche Unternehmen muss betroffene Personen auf deren Antrag hin umfassend über die verarbeiteten Daten informieren. Dieses Auskunftsrecht betrifft beispielsweise die Zwecke und Empfänger sowie weitere Einzelheiten der Verarbeitung. Weiterhin muss der Verantwortliche nach Art. 15 Abs. 3 DSGVO auch eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ stellen. Das Landesarbeitsgericht (LAG) Baden-Württemberg hat dieses Recht auf Auskunft und Kopie in einer aktuellen Entscheidung (Urt. v. 20.12.2018 – 17 Sa 11/18) weit ausgelegt. Dies kann Unternehmen vor große Herausforderungen stellen. Allerdings können Unternehmen bei der Erteilung von Auskünften durchaus auch eine andere Rechtsauffassung vertreten. Denn zum einen ist das Urteil des LAG Baden-Württemberg nicht rechtskräftig und wird gegebenenfalls noch vom Bundesarbeitsgericht korrigiert. Zum anderen hat das Landgericht (LG) Köln in einer 
Am 9. Mai 2019 hat die Regierungskommission Deutsche Corporate Governance eine vollständige Neufassung des Deutsche Corporate Governance Kodex (DCGK) beschlossen. Diese wurde am 22. Mai 2019 der Öffentlichkeit zugänglich gemacht. Vorangegangen war ein ungewöhnlich langes Konsultationsverfahren, das mit der Veröffentlichung einer Entwurfsfassung des DCGK am 6. November 2018 und am 31. Januar 2019 endete. Im Rahmen dieser Konsultation wurden über 100 Stellungnahmen von Verbänden, Unternehmen, Anwaltskanzleien und anderen interessierten Kreisen eingereicht. Die darin, zum Teil scharf geäußerte Kritik am Entwurf wurde von der Regierungskommission in erheblichem Umfang berücksichtigt.
In May, the European Central Bank’s Crypto-Assets Task Force 
Spätestens seit die Finanzministerkonferenz am 21. Juni 2018 die politische Diskussion zur Verschärfung des Grunderwerbsteuergesetzes im Hinblick auf sog. Share Deal-Strukturen konkretisiert hatte, mussten Transaktionen unter erheblicher Unsicherheit im Hinblick auf ihre grunderwerbsteuerlichen Konsequenzen strukturiert werden. Nunmehr hat das Bundesfinanzministerium endlich einen ersten Referentenentwurf zur Grunderwerbsteuerreform veröffentlicht und damit die geplanten Rahmenbedingungen abgesteckt, auf die sich die Marktteilnehmer einstellen müssen.