LathamGermany

Britische Datenschutzaufsicht ICO kündigt Rekordbußgelder wegen DSGVO-Verstößen an

Posted in Data Privacy

Das ICO kündigt an, Bußgelder gegen British Airways und Marriott zu verhängen. Was ist passiert, wie geht es weiter?

Von Gail Crawford, Tim Wybitul, Dr. Wolf-Tassilo Böhm, Fiona Maclean, Hayley Pizzey, Calum Docherty, Joachim Grittmann und Dr. Isabelle Brams

Am 8. Juli 2019 kündigte das Information Commissioner’s Office (ICO) an, gegen British Airways wegen eines Verstoßes gegen die EU Datenschutz-Grundverordnung (DSGVO) ein Bußgeld in Höhe von 183,39 Millionen Britischen Pfund (rund 204 Millionen Euro) zu verhängen. Das ICO ist die Datenschutzaufsichtsbehörde des Vereinigten Königreichs. Das angekündigte Bußgeld ist das bisher höchste unter der DSGVO. Es entspricht laut der Financial Times etwa 1,5 Prozent des weltweiten Umsatzes von British Airways im Jahr 2017. Der Ankündigung ging eine monatelange Untersuchung des ICO voraus. Anlass der Untersuchung war eine von British Airways an das ICO im September 2018 gemeldete Datenschutzverletzung. Gegenstand der Meldung war ein Sicherheitsvorfall, der unter anderem den Diebstahl von Kundendaten zur Folge hatte.

Am 9. Juli 2019 gab das ICO zudem bekannt, dass es beabsichtigt, auch gegen Marriott International wegen Verstößen gegen die DSGVO ein Bußgeld zu verhängen. In diesem Verfahren soll das Bußgeld 99,2 Millionen Britischen Pfund (rund 110 Millionen Euro) betragen. Laut Wall Street Journal entspricht das angedrohte Bußgeld etwa 2,5 Prozent des weltweiten Umsatzes von Marriott. Bei Marriotts Tochtergesellschaft Starwood war es ebenfalls zu einem erheblichen Datenschutzverstoß gekommen. Marriott hatte Starwood im Jahr 2016 erworben. Marriott hatte die Datenschutzverletzung im November 2018 bekannt gemacht. Das ICO hatte diese Meldung als Anlass für eine umfangreichere Prüfung bei Marriott genommen.

Warum veröffentlichte das ICO die Absichtserklärungen?

Normalerweise veröffentlicht das ICO Absichtserklärungen in Bezug auf die geplante Verhängung von Bußgeldern nicht. Eine Veröffentlichung kommt aber dann in Betracht, wenn entweder (i) ein überwiegendes öffentliches Interesse besteht, (ii) sich alle Parteien über die Veröffentlichung einig sind, (iii) die Angelegenheit, bereits öffentlich bekannt ist, (iv) Berichtspflichten auf dem Finanzmarkt bestehen, (v) eine Veröffentlichung für Zwecke der internationalen Zusammenarbeit auf Behördenebene notwendig ist oder (vi) die Veröffentlichung der Verbesserung des Schutzes der Allgemeinheit vor Bedrohungen dient.

Nach eigenen Aussagen hatte das ICO selbst kein eigenes Interesse an der Veröffentlichung der beiden Absichtserklärungen. Daher hatte das ICO Marriott und British Airways zunächst vertrauliche Stellungnahmen zu den angedrohten Bußgeldern zukommen lassen. Allerdings unterliegen die beiden Unternehmen finanzmarktrechtlichen Publizitätspflichten. Dies machte vorliegend eine Offenlegung der angedrohten Bußgelder erforderlich. Dementsprechend entschieden sich die Unternehmen selbst für eine Veröffentlichung der vom ICO übermittelten Absichtserklärungen. Die vom ICO daraufhin veröffentlichen Absichtserklärungen enthalten zudem keinen vollständigen Abdruck der gegenüber den Unternehmen bereits versandten vertraulichen Stellungnahmen.

Welche DSGVO-Verstöße liegen den Bußgeldern zugrunde?

Der Fall British Airways

Berichten zufolge bezieht sich die Datenschutzverletzung durch British Airways auf einen Cyberangriff auf die Webseite und die App der Fluggesellschaft. Bei diesem Angriff hätten Hacker die Kunden von British Airways auf eine betrügerische Webseite umgeleitet, um Kundeninformationen zu sammeln. Von dem Vorfall waren rund 500.000 Personen betroffen. Zu den Kategorien der gefährdeten personenbezogenen Daten gehören Berichten zufolge: Kundennamen, Postanschriften, E-Mail-Adressen, Log-in-Daten, Kreditkartendaten (einschließlich Kartenprüfnummern (sog. CVV)) und Buchungsinformationen.

British Airways hatte das ICO im September 2018 über den Vorfall informiert. Die Behörde geht davon aus, dass der Cyberangriff vermutlich im Juni 2018 begonnen hatte. British Airways hatte in öffentlichen Berichten hingegen erklärt, dass sich die Datenschutzverletzung im Zeitraum vom 21. August 2018 bis 5. September 2018 ereignet habe. Nach Ansicht des ICO hatten „schlechte Sicherheitsvorkehrungen“ des Unternehmens zu dem Sicherheitsvorfall geführt. Folglich hatte das ICO im Rahmen der Prüfung auch die internen Sicherheitsmaßnahmen des Unternehmens überprüft. Die Leiterin des ICO, Elizabeth Denham, erklärte hierzu: “The law is clear – when you are entrusted with personal data, you must look after it“.

Der Fall Marriott

Marriott erlangte erstmals im September 2018 davon Kenntnis, dass Daten aus seiner Datenbank für Gästebuchungen gestohlen worden waren. Marriott hatte im Rahmen des Kaufs der Starwood-Kette im Jahr 2016 eine kompromittierte Datenbank erworben. Der unbefugte Zugriff auf das Buchungssystem reicht anscheinend in das Jahr 2014 zurück. Von dem Sicherheitsvorfall waren über 300 Millionen Kunden betroffen, darunter 30 Millionen im Europäischen Wirtschaftsraum ansässige Personen. Zu den personenbezogenen Daten, die angeblich gestohlen wurden, gehören etwa Kundennamen, Postanschriften, Telefonnummern, Geburtsdaten, Geschlecht, E-Mail-Adressen, Zugangsdaten für das Treueprogramm, Reservierungsinformationen, fünf Millionen unverschlüsselte Passwörter und acht Millionen Kreditkartennummern.

Marriott nahm die kompromittierte Datenbank schrittweise außer Betrieb. Das Unternehmen geht nicht davon aus, dass sein eigenes Buchungssystem von dem Vorfall ebenfalls betroffen ist. Marriott hatte das ICO bei seinen Untersuchungen umfassend unterstützt. Zudem hatte das Unternehmen umfangreiche Maßnahmen unternommen, um sein internes IT-Sicherheitssystem zu verbessern.

Wie geht es mit den beiden Verfahren weiter?

Stellungnahmen und Konsultationen in den Bußgeldverfahren

British Airways und Marriott haben nun Gelegenheit, zu der jeweiligen Absichtserklärung des ICO Stellung zu nehmen. Die Unternehmen haben hierfür mindestens 21 Tage Zeit. Das ICO legt die genaue Frist in der jeweiligen Absichtserklärung fest. Die von den Unternehmen einzureichenden Stellungnahmen können sich unter anderem auf die Art und Weise beziehen, wie die jeweiligen Sicherheitsverstöße aufgetreten sind. Zudem können die Unternehmen in ihrer Stellungnahme mildernde Umstände vortragen. Dazu zählt unter anderem die Darstellung von zwischenzeitlich ergriffenen Maßnahmen zur Verbesserung der IT-Sicherheit oder von sonstigen beabsichtigten Abhilfemaßnahmen. Ferner können die Unternehmen in ihrer jeweiligen Stellungnahme Argumente dafür vortragen, warum das ICO nicht von seinen Befugnissen nach Art. 83 DSGVO Gebrauch machen sollte. Die Unternehmen können auch die Verhängung eines reduzierten Bußgeldes beantragen.

British Airways und Marriott haben inzwischen jeweils angekündigt, sich gegen die angedrohten Bußgelder verteidigen zu wollen.

Im Rahmen des in der DSGVO geregelten sogenannten One-Stop-Shop-Mechanismus zur Zusammenarbeit der Datenschutzbehörden bei grenzüberschreitenden Datenverarbeitungen teilt das ICO als federführende Aufsichtsbehörde seine Ergebnisse mit anderen betroffenen Aufsichtsbehörden in der Europäischen Union. Dies betrifft konkret die Aufsichtsbehörden in Ländern, in denen ebenfalls Personen von den Vorfällen betroffen sind. Eine entsprechende Abstimmung findet nach der Einreichung der jeweiligen Stellungnahmen durch British Airways und Marriott statt. Die anderen Aufsichtsbehörden haben dann ebenfalls Gelegenheit, zu den beabsichtigten Bußgeldern Stellung zu nehmen.

Klagen betroffener Kunden gegen Britisch Airways und Marriott

Unabhängig vom Ausgang des vom ICO eingeleiteten Bußgeldverfahrens besteht für British Airways ein zusätzliches Risiko in Form von Klagen betroffener Kunden. Berichten zufolge fordern Verbraucher in Sammelklagen im Durchschnitt jeweils bis zu 2.000 Britische Pfund.

Öffentliche Stellungnahmen lassen darauf schließen, dass sich bislang etwa 5.500 Personen der Sammelklage angeschlossen haben. Im Erfolgsfall könnte dies für British Airways zu zusätzlichen Kosten in Höhe von 11 Millionen Pfund führen. Falls sich sämtliche der 500.000 Betroffenen der Sammelklage anschließen, drohten British Airways theoretisch sogar finanzielle Belastungen von bis zu einer Milliarde Pfund.

Auch Marriott muss sich in den USA inzwischen gegen Sammelklagen von Verbrauchern zur Wehr setzen. Erste Forderungen belaufen sich auf bis zu 12,5 Milliarden US-Dollar Schadenersatz für 500 Millionen betroffene Kunden.

Welche Bedeutung haben die beiden Fälle für andere Unternehmen?

Die beiden Absichtserklärungen des ICO sind ein klares Anzeichen dafür, dass die britische Datenschutzaufsichtsbehörde sich nicht davor scheut, hohe Bußgelder zu verhängen. Die Androhung hoher Bußgelder soll Unternehmen dazu bewegen, effektive Maßnahmen zum Datenschutz und zur IT-Sicherheit zu ergreifen. Das ICO bekräftige insofern, dass Unternehmen Verantwortung für die bei ihnen gespeicherten Daten übernehmen müssen.

Die Absichtserklärung gegenüber Marriott macht zudem deutlich, dass Unternehmen die Themen Daten- und IT-Sicherheit vor der Übernahme eines Unternehmens sorgfältig prüfen sollten. Unternehmen sind daher gut beraten, dem Datenschutz und der IT-Sicherheit im Rahmen von M&A-Transaktionen sowie bei Due Diligence-Prüfungen besondere Bedeutung beizumessen.

Welche Auswirkungen können die beiden Verfahren auf die Bußgeldpraxis deutscher Datenschutzaufsichtsbehörden haben?

Das bislang höchste von einer deutschen Datenschutzaufsichtsbehörde wegen DSGVO-Verstößen verhängte Bußgeld fällt mit 80.000 Euro deutlich niedriger aus als die beiden vom ICO angekündigten Bußgelder. Auch im Vergleich mit anderen EU-Mitgliedsstaaten wirkt die Bilanz der deutschen Datenschutzaufsichtsbehörden auf den ersten Blick eher moderat. Derzeit sind jedoch eine Vielzahl von Bußgeldverfahren bei deutschen Datenschutzaufsichtsbehörden anhängig. Einige Datenschutzbehörden bauen aktuell Kapazitäten in ihren Bußgeldstellen auf. Gerade auch im Hinblick auf die angekündigten Rekordbußgelder des ICO und die Bußgeldpraxis anderer europäischer Datenschutzaufsichtsbehörden müssen sich Unternehmen auch in Deutschland künftig auf deutlich höhere Bußgelder einstellen.

*Der englischsprachige Originalbeitrag zu diesem Überblick wurde von Gail Crawford, Fiona Maclean, Hayley Pizzey und Calum Docherty am 12. Juli 2019 auf dem Latham & Watkins Global Privacy & Security Compliance Law Blog veröffentlicht.

 

Antitrust Clearance: Keeping Your Deal On Track

Posted in M&A and Private Equity

In our latest video series, out antitrust lawyers discuss key merger control issues that dealmakers should consider to ensure a smooth antitrust review of strategic transactions.

Click on the video playlist below or visit our video gallery page to hear their views on key topics impacting global transactions; gain practical tips on how to minimize antitrust risk, and ensure a timely deal close.

If you have any questions or comments on these topics, please get in touch with our team.

DSGVO-Bußgelder in der Praxis – Teil III:

Posted in Data Privacy

Welche Auskunftsrechte stehen Verbrauchern nach dem neuen Datenschutzrecht zu?

Von Tim Wybitul

Art. 15 Abs. 1 DSGVO gibt betroffenen Personen gegenüber dem Verantwortlichen ein Auskunftsrecht über die Verarbeitung ihrer personenbezogenen Daten. Weiterhin muss der Verantwortliche nach Art. 15 Abs. 3 DSGVO eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ stellen. Datenschutzexperten sind sich bislang nicht einig, wie weit diese Rechte betroffener Personen genau reichen. In einem ersten Urteil legte das Landesarbeitsgericht (LAG) Baden-Württemberg das Recht auf Auskunft und Kopie weit aus. Dies führte zu einiger Verunsicherung. Unternehmen fürchten, dass sie betroffenen Personen im Rahmen von Auskunftsverlangen zukünftig umfangreiche Datenbestände wie E-Mails und andere sie betreffende Dokumente herausgeben müssen. Unsere Analyse dieses Urteils finden Sie hier.

Inzwischen gibt es eine weitere Entscheidung, welche sich mit der Reichweite von Art. 15 DSGVO beschäftigt. In einem aktuellen Teilurteil (Teilurt. v. 18. März 2019 – 26 O 25/18) hat das Landgericht (LG) Köln das Recht auf Auskunft und Kopie deutlich enger ausgelegt als das LAG-Baden-Württemberg. Continue Reading

DSGVO-Bußgelder in der Praxis – Teil II:

Posted in Data Privacy

Bußgeldpraxis der deutschen Datenschutzbehörden

Von Tim Wybitul

Vor Inkrafttreten der DSGVO haben viele Unternehmen befürchtet, bei Datenschutzverstößen zukünftig mit Bußgeldern in Millionen- oder gar Milliardenhöhe rechnen zu müssen. Zumindest in Deutschland scheint sich diese Befürchtung auf den ersten Blick jedenfalls bislang noch nicht bewahrheitet zu haben. Grund zur Entwarnung besteht allerdings dennoch nicht.

Wie hoch waren die bisher von Deutschen Behörden verhängten Bußgelder?

Bislang vertreten die deutschen Datenschutzbehörden bei der Verhängung von Bußgeldern wegen Datenschutzverstößen noch keinen einheitlichen Ansatz. So sind von manchen Datenschutzbehörden – wie etwa dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) – bisher noch keine verhängten Bußgelder bekannt geworden. Insgesamt überwiegen bislang eher niedrige Bußgelder. Beispielsweise hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) kürzlich gegen eine Online-Bank ein Bußgeld von EUR 50.000 verhängt. Die Bank hatte unberechtigt eine „schwarze Liste“ mit Daten ehemaliger Kunden geführt. Continue Reading

Was Investoren über den Berliner Mietendeckel wissen sollten

Posted in Real Estate

Der von der Berliner Landesregierung geplante fünfjährige Deckel auf Wohnungsmieten sorgt für erhebliche Unsicherheit unter Investoren

Von Constanze Kugler und Christian Thiele

Am 18. Juni 2019 hat der Berliner Senat ein Eckpunktepapier über Details eines geplanten fünfjährigen Mietendeckels für Wohnimmobilien in der Hauptstadt veröffentlicht. Der Mietendeckel würde die bereits bestehenden Beschränkungen für Mieterhöhungen erheblich verschärfen. Die Berliner Regierung will das entsprechende Gesetz noch in diesem Jahr verabschieden, in Kraft treten soll es spätestens im Januar 2020.

Die wichtigsten Eckpunkte

Nach dem Eckpunktepapier soll der Mietendeckel wie folgt funktionieren: Continue Reading

Private Equity Set to Get Active With Activists

Posted in M&A and Private Equity

Companies previously considered immune from activist campaigns have come under pressure, driving new public and private deal opportunities for private equity.

By Richard Butterwick, Christopher DrewryTom EvansHarald SelznerDavid Walker, Ben Coleman, and Catherine Campbell

US shareholder activists are an established presence in Europe. In 2018, activist campaigns targeted 160 European companies, according to Activist Insight. In the UK, 17 companies faced activist demands in the first quarter of 2019 alone. Activist funds have prompted public company boards to look more critically at their portfolio and product mixes, as well as their geographical footprints, either to avoid activist attention or to respond to activist activity.

Click for larger image.

M&A activist campaigns that advocate for breakup or take-private transactions create obvious opportunities for PE firms. However, deal teams should take note of both recent activist strategies in the US and developments in the broader activist landscape. In our view, such strategies and developments will likely spread to Europe and create new PE opportunities. Continue Reading

Erste Urteile zum Recht auf Auskunft und Kopie nach Art. 15 DSGVO

Posted in Data Privacy

Müssen Verantwortliche betroffenen Personen auf Anfrage umfangreiche Datensätze zur Verfügung stellen?

Von Tim Wybitul

Art. 15 Abs. 1 DSGVO gibt natürlichen Personen ein Auskunftsrecht über die Verarbeitung ihrer personenbezogenen Daten. Das für eine Datenverarbeitung verantwortliche Unternehmen muss betroffene Personen auf deren Antrag hin umfassend über die verarbeiteten Daten informieren. Dieses Auskunftsrecht betrifft beispielsweise die Zwecke und Empfänger sowie weitere Einzelheiten der Verarbeitung. Weiterhin muss der Verantwortliche nach Art. 15 Abs. 3 DSGVO auch eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ stellen. Das Landesarbeitsgericht (LAG) Baden-Württemberg hat dieses Recht auf Auskunft und Kopie in einer aktuellen Entscheidung (Urt. v. 20.12.2018 – 17 Sa 11/18) weit ausgelegt. Dies kann Unternehmen vor große Herausforderungen stellen. Allerdings können Unternehmen bei der Erteilung von Auskünften durchaus auch eine andere Rechtsauffassung vertreten. Denn zum einen ist das Urteil des LAG Baden-Württemberg nicht rechtskräftig und wird gegebenenfalls noch vom Bundesarbeitsgericht korrigiert. Zum anderen  hat das Landgericht (LG) Köln in einer hier abrufbaren aktuellen Entscheidung das Recht auf Auskunft und Kopie deutlich restriktiver – und damit unternehmensfreundlicher – ausgelegt als ihre Baden-Württemberger Kollegen. Der vorliegende Überblick zeigt, wie Unternehmen auf Auskunftsansprüche reagieren können – und mit welchen Argumenten sie exzessiven Informationsersuchen entgegen treten können. Continue Reading

Deutscher Corporate Governance Kodex

Posted in M&A and Private Equity

Eine vollständige Neufassung

Von Sebastian Goslar

Am 9. Mai 2019 hat die Regierungskommission Deutsche Corporate Governance eine vollständige Neufassung des Deutsche Corporate Governance Kodex (DCGK) beschlossen. Diese wurde am 22. Mai 2019 der Öffentlichkeit zugänglich gemacht. Vorangegangen war ein ungewöhnlich langes Konsultationsverfahren, das mit der Veröffentlichung einer Entwurfsfassung des DCGK am 6. November 2018 und am 31. Januar 2019 endete. Im Rahmen dieser Konsultation wurden über 100 Stellungnahmen von Verbänden, Unternehmen, Anwaltskanzleien und anderen interessierten Kreisen eingereicht. Die darin, zum Teil scharf geäußerte Kritik am Entwurf wurde von der Regierungskommission in erheblichem Umfang berücksichtigt.

Anders als bisher wird der DCGK künftig anhand von Aufgaben statt wie bislang nach den Organen der Aktiengesellschaft gegliedert sein. In diesem Zusammenhang wird er 25 sog. Grundsätze enthalten, welche wesentliche rechtliche Vorgaben verantwortungsvoller Unternehmensführung wiedergeben und der Information der Anleger und weiterer Stakeholder dienen sollen. Unter diesen Grundsätzen finden sich jeweils die ihnen zugeordneten Anregungen und Empfehlungen. Auf die bloß beschreibende Wiedergabe von Gesetzestexten wird nach Aussage der Regierungskommission künftig grundsätzlich verzichtet. Die neuen Grundsätze unterscheiden sich davon freilich wenig, stellen sie zumeist eine Zusammenfassung mehrerer gesetzlicher Regelungen bzw. Prinzipien dar. Ein praktisches Bedürfnis für die Neustrukturierung und –konzeptionierung des DCGK ist nicht erkennbar und wurde, soweit ersichtlich, aus der Praxis auch nicht geäußert. Vielmehr hatte sich der DCGK in seiner seit gut 16 Jahren bestehenden und punktuell fortentwickelten Form durchaus bewährt und Akzeptanz bei den Unternehmen sowie den übrigen Marktteilnehmern gefunden. Allerdings bringt die Änderung der Struktur für die nach § 161 AktG erklärungspflichtigen Gesellschaften nur einen überschaubaren Anpassungsbedarf mit sich. Continue Reading

European Central Bank Crypto-Assets Task Force Releases Paper on Cryptocurrencies

Posted in FinTech

The paper discusses supervision and regulatory issues of cryptocurrencies, and finds that a central bank digital currency in the EU is not (yet) warranted.

By Max von Cube

In May, the European Central Bank’s Crypto-Assets Task Force published a paper on cryptocurrencies such as Bitcoin, Ether, and Ripple (referred to as narrowly defined “crypto-assets”). The paper, titled “Crypto-Assets: Implications for financial stability, monetary policy, and payments and market infrastructures,” follows similar recent publications by the European Banking Authority (EBA)[i] and the European Securities and Markets Authority (ESMA).[ii]

After examining cryptocurrency markets and tracing their linkage to the financial system and the real economy, the authors of the paper found that cryptocurrencies currently do not pose a material risk to financial stability. Further, the authors currently see no direct implications of cryptocurrencies for monetary policy. Continue Reading

Update Grunderwerbsteuerreform

Posted in Real Estate

Bundesfinanzministerium veröffentlicht Referentenentwurf

Ausgangslage

canolaSpätestens seit die Finanzministerkonferenz am 21. Juni 2018 die politische Diskussion zur Verschärfung des Grunderwerbsteuergesetzes im Hinblick auf sog. Share Deal-Strukturen konkretisiert hatte, mussten Transaktionen unter erheblicher Unsicherheit im Hinblick auf ihre grunderwerbsteuerlichen Konsequenzen strukturiert werden. Nunmehr hat das Bundesfinanzministerium endlich einen ersten Referentenentwurf zur Grunderwerbsteuerreform veröffentlicht und damit die geplanten Rahmenbedingungen abgesteckt, auf die sich die Marktteilnehmer einstellen müssen.

Im Kern ist es bei den seit Juni 2018 erwarteten Maßnahmen geblieben. Allerdings ist jetzt erstmals der geplante zeitliche Anwendungsbereich konkretisiert worden. Grundsätzlich sollen die neuen Regelungen erst für Erwerbsvorgänge ab dem 1.1.2020 gelten.  Continue Reading

LexBlog