Das ICO kündigt an, Bußgelder gegen British Airways und Marriott zu verhängen. Was ist passiert, wie geht es weiter?

Von Gail Crawford, Tim Wybitul, Dr. Wolf-Tassilo Böhm, Fiona Maclean, Hayley Pizzey, Calum Docherty, Joachim Grittmann und Dr. Isabelle Brams

Am 8. Juli 2019 kündigte das Information Commissioner’s Office (ICO) an, gegen British Airways wegen eines Verstoßes gegen die EU Datenschutz-Grundverordnung (DSGVO) ein Bußgeld in Höhe von 183,39 Millionen Britischen Pfund (rund 204 Millionen Euro) zu verhängen. Das ICO ist die Datenschutzaufsichtsbehörde des Vereinigten Königreichs. Das angekündigte Bußgeld ist das bisher höchste unter der DSGVO. Es entspricht laut der Financial Times etwa 1,5 Prozent des weltweiten Umsatzes von British Airways im Jahr 2017. Der Ankündigung ging eine monatelange Untersuchung des ICO voraus. Anlass der Untersuchung war eine von British Airways an das ICO im September 2018 gemeldete Datenschutzverletzung. Gegenstand der Meldung war ein Sicherheitsvorfall, der unter anderem den Diebstahl von Kundendaten zur Folge hatte.

Am 9. Juli 2019 gab das ICO zudem bekannt, dass es beabsichtigt, auch gegen Marriott International wegen Verstößen gegen die DSGVO ein Bußgeld zu verhängen. In diesem Verfahren soll das Bußgeld 99,2 Millionen Britischen Pfund (rund 110 Millionen Euro) betragen. Laut Wall Street Journal entspricht das angedrohte Bußgeld etwa 2,5 Prozent des weltweiten Umsatzes von Marriott. Bei Marriotts Tochtergesellschaft Starwood war es ebenfalls zu einem erheblichen Datenschutzverstoß gekommen. Marriott hatte Starwood im Jahr 2016 erworben. Marriott hatte die Datenschutzverletzung im November 2018 bekannt gemacht. Das ICO hatte diese Meldung als Anlass für eine umfangreichere Prüfung bei Marriott genommen.

Warum veröffentlichte das ICO die Absichtserklärungen?

Normalerweise veröffentlicht das ICO Absichtserklärungen in Bezug auf die geplante Verhängung von Bußgeldern nicht. Eine Veröffentlichung kommt aber dann in Betracht, wenn entweder (i) ein überwiegendes öffentliches Interesse besteht, (ii) sich alle Parteien über die Veröffentlichung einig sind, (iii) die Angelegenheit, bereits öffentlich bekannt ist, (iv) Berichtspflichten auf dem Finanzmarkt bestehen, (v) eine Veröffentlichung für Zwecke der internationalen Zusammenarbeit auf Behördenebene notwendig ist oder (vi) die Veröffentlichung der Verbesserung des Schutzes der Allgemeinheit vor Bedrohungen dient.

Nach eigenen Aussagen hatte das ICO selbst kein eigenes Interesse an der Veröffentlichung der beiden Absichtserklärungen. Daher hatte das ICO Marriott und British Airways zunächst vertrauliche Stellungnahmen zu den angedrohten Bußgeldern zukommen lassen. Allerdings unterliegen die beiden Unternehmen finanzmarktrechtlichen Publizitätspflichten. Dies machte vorliegend eine Offenlegung der angedrohten Bußgelder erforderlich. Dementsprechend entschieden sich die Unternehmen selbst für eine Veröffentlichung der vom ICO übermittelten Absichtserklärungen. Die vom ICO daraufhin veröffentlichen Absichtserklärungen enthalten zudem keinen vollständigen Abdruck der gegenüber den Unternehmen bereits versandten vertraulichen Stellungnahmen.

Welche DSGVO-Verstöße liegen den Bußgeldern zugrunde?

Der Fall British Airways

Berichten zufolge bezieht sich die Datenschutzverletzung durch British Airways auf einen Cyberangriff auf die Webseite und die App der Fluggesellschaft. Bei diesem Angriff hätten Hacker die Kunden von British Airways auf eine betrügerische Webseite umgeleitet, um Kundeninformationen zu sammeln. Von dem Vorfall waren rund 500.000 Personen betroffen. Zu den Kategorien der gefährdeten personenbezogenen Daten gehören Berichten zufolge: Kundennamen, Postanschriften, E-Mail-Adressen, Log-in-Daten, Kreditkartendaten (einschließlich Kartenprüfnummern (sog. CVV)) und Buchungsinformationen.

British Airways hatte das ICO im September 2018 über den Vorfall informiert. Die Behörde geht davon aus, dass der Cyberangriff vermutlich im Juni 2018 begonnen hatte. British Airways hatte in öffentlichen Berichten hingegen erklärt, dass sich die Datenschutzverletzung im Zeitraum vom 21. August 2018 bis 5. September 2018 ereignet habe. Nach Ansicht des ICO hatten „schlechte Sicherheitsvorkehrungen“ des Unternehmens zu dem Sicherheitsvorfall geführt. Folglich hatte das ICO im Rahmen der Prüfung auch die internen Sicherheitsmaßnahmen des Unternehmens überprüft. Die Leiterin des ICO, Elizabeth Denham, erklärte hierzu: “The law is clear – when you are entrusted with personal data, you must look after it“.

Der Fall Marriott

Marriott erlangte erstmals im September 2018 davon Kenntnis, dass Daten aus seiner Datenbank für Gästebuchungen gestohlen worden waren. Marriott hatte im Rahmen des Kaufs der Starwood-Kette im Jahr 2016 eine kompromittierte Datenbank erworben. Der unbefugte Zugriff auf das Buchungssystem reicht anscheinend in das Jahr 2014 zurück. Von dem Sicherheitsvorfall waren über 300 Millionen Kunden betroffen, darunter 30 Millionen im Europäischen Wirtschaftsraum ansässige Personen. Zu den personenbezogenen Daten, die angeblich gestohlen wurden, gehören etwa Kundennamen, Postanschriften, Telefonnummern, Geburtsdaten, Geschlecht, E-Mail-Adressen, Zugangsdaten für das Treueprogramm, Reservierungsinformationen, fünf Millionen unverschlüsselte Passwörter und acht Millionen Kreditkartennummern.

Marriott nahm die kompromittierte Datenbank schrittweise außer Betrieb. Das Unternehmen geht nicht davon aus, dass sein eigenes Buchungssystem von dem Vorfall ebenfalls betroffen ist. Marriott hatte das ICO bei seinen Untersuchungen umfassend unterstützt. Zudem hatte das Unternehmen umfangreiche Maßnahmen unternommen, um sein internes IT-Sicherheitssystem zu verbessern.

Wie geht es mit den beiden Verfahren weiter?

Stellungnahmen und Konsultationen in den Bußgeldverfahren

British Airways und Marriott haben nun Gelegenheit, zu der jeweiligen Absichtserklärung des ICO Stellung zu nehmen. Die Unternehmen haben hierfür mindestens 21 Tage Zeit. Das ICO legt die genaue Frist in der jeweiligen Absichtserklärung fest. Die von den Unternehmen einzureichenden Stellungnahmen können sich unter anderem auf die Art und Weise beziehen, wie die jeweiligen Sicherheitsverstöße aufgetreten sind. Zudem können die Unternehmen in ihrer Stellungnahme mildernde Umstände vortragen. Dazu zählt unter anderem die Darstellung von zwischenzeitlich ergriffenen Maßnahmen zur Verbesserung der IT-Sicherheit oder von sonstigen beabsichtigten Abhilfemaßnahmen. Ferner können die Unternehmen in ihrer jeweiligen Stellungnahme Argumente dafür vortragen, warum das ICO nicht von seinen Befugnissen nach Art. 83 DSGVO Gebrauch machen sollte. Die Unternehmen können auch die Verhängung eines reduzierten Bußgeldes beantragen.

British Airways und Marriott haben inzwischen jeweils angekündigt, sich gegen die angedrohten Bußgelder verteidigen zu wollen.

Im Rahmen des in der DSGVO geregelten sogenannten One-Stop-Shop-Mechanismus zur Zusammenarbeit der Datenschutzbehörden bei grenzüberschreitenden Datenverarbeitungen teilt das ICO als federführende Aufsichtsbehörde seine Ergebnisse mit anderen betroffenen Aufsichtsbehörden in der Europäischen Union. Dies betrifft konkret die Aufsichtsbehörden in Ländern, in denen ebenfalls Personen von den Vorfällen betroffen sind. Eine entsprechende Abstimmung findet nach der Einreichung der jeweiligen Stellungnahmen durch British Airways und Marriott statt. Die anderen Aufsichtsbehörden haben dann ebenfalls Gelegenheit, zu den beabsichtigten Bußgeldern Stellung zu nehmen.

Klagen betroffener Kunden gegen Britisch Airways und Marriott

Unabhängig vom Ausgang des vom ICO eingeleiteten Bußgeldverfahrens besteht für British Airways ein zusätzliches Risiko in Form von Klagen betroffener Kunden. Berichten zufolge fordern Verbraucher in Sammelklagen im Durchschnitt jeweils bis zu 2.000 Britische Pfund.

Öffentliche Stellungnahmen lassen darauf schließen, dass sich bislang etwa 5.500 Personen der Sammelklage angeschlossen haben. Im Erfolgsfall könnte dies für British Airways zu zusätzlichen Kosten in Höhe von 11 Millionen Pfund führen. Falls sich sämtliche der 500.000 Betroffenen der Sammelklage anschließen, drohten British Airways theoretisch sogar finanzielle Belastungen von bis zu einer Milliarde Pfund.

Auch Marriott muss sich in den USA inzwischen gegen Sammelklagen von Verbrauchern zur Wehr setzen. Erste Forderungen belaufen sich auf bis zu 12,5 Milliarden US-Dollar Schadenersatz für 500 Millionen betroffene Kunden.

Welche Bedeutung haben die beiden Fälle für andere Unternehmen?

Die beiden Absichtserklärungen des ICO sind ein klares Anzeichen dafür, dass die britische Datenschutzaufsichtsbehörde sich nicht davor scheut, hohe Bußgelder zu verhängen. Die Androhung hoher Bußgelder soll Unternehmen dazu bewegen, effektive Maßnahmen zum Datenschutz und zur IT-Sicherheit zu ergreifen. Das ICO bekräftige insofern, dass Unternehmen Verantwortung für die bei ihnen gespeicherten Daten übernehmen müssen.

Die Absichtserklärung gegenüber Marriott macht zudem deutlich, dass Unternehmen die Themen Daten- und IT-Sicherheit vor der Übernahme eines Unternehmens sorgfältig prüfen sollten. Unternehmen sind daher gut beraten, dem Datenschutz und der IT-Sicherheit im Rahmen von M&A-Transaktionen sowie bei Due Diligence-Prüfungen besondere Bedeutung beizumessen.

Welche Auswirkungen können die beiden Verfahren auf die Bußgeldpraxis deutscher Datenschutzaufsichtsbehörden haben?

Das bislang höchste von einer deutschen Datenschutzaufsichtsbehörde wegen DSGVO-Verstößen verhängte Bußgeld fällt mit 80.000 Euro deutlich niedriger aus als die beiden vom ICO angekündigten Bußgelder. Auch im Vergleich mit anderen EU-Mitgliedsstaaten wirkt die Bilanz der deutschen Datenschutzaufsichtsbehörden auf den ersten Blick eher moderat. Derzeit sind jedoch eine Vielzahl von Bußgeldverfahren bei deutschen Datenschutzaufsichtsbehörden anhängig. Einige Datenschutzbehörden bauen aktuell Kapazitäten in ihren Bußgeldstellen auf. Gerade auch im Hinblick auf die angekündigten Rekordbußgelder des ICO und die Bußgeldpraxis anderer europäischer Datenschutzaufsichtsbehörden müssen sich Unternehmen auch in Deutschland künftig auf deutlich höhere Bußgelder einstellen.

*Der englischsprachige Originalbeitrag zu diesem Überblick wurde von Gail Crawford, Fiona Maclean, Hayley Pizzey und Calum Docherty am 12. Juli 2019 auf dem Latham & Watkins Global Privacy & Security Compliance Law Blog veröffentlicht.