Rekord-Bußgelder in Sachen Datenschutz und DSGVO

Jetzt wird es dreistellig (in Millionen). Die britische Datenschutzaufsichtsbehörde ICO hat angekündigt, gegen den Hotelbetreiber Marriott ein Bußgeld über 99 Millionen britische Pfund zu verhängen. Das wären umgerechnet ungefähr 110 Millionen Euro. Gegen British Airways soll eventuell ein noch höheres Bußgeld verhängt werden. Hier steht eine Summe von 183 Millionen britische Pfund im Raum, was dann etwa 204 Millionen Euro wären.

Verstöße gegen DSGVO wurden gemeldet

Im Fall British Airways waren personenbezogene Daten von über 500.000 Kunden (vor allem Name, Anschrift, E-Mail-Adresse und Zahlungsdaten) über zwei Datenlecks im Online-Buchungssystem ungeschützt zugänglich. Diesen Datenschutzvorfall hatte die Fluggesellschaft selbst der ICO gemeldet, wozu sie nach Artikel 33 DSGVO verpflichtet ist. Bei der anschließenden Untersuchung stellte die britische Datenschutzaufsichtsbehörde fest, dass unzureichende Sicherheitsvorkehrungen von British Airways für den Vorfall verantwortlich waren.

Im Fall Marriott wurde durch die Hotelkette im November 2018 ein Datenschutzvorfall nach Artikel 33 DSGVO gemeldet, bei dem personenbezogene Daten in Form von über 330 Millionen Gästeaufzeichnungen zugänglich wurden. Die Schwachstelle fiel Marriott erst im Jahr 2018 auf. Laut ICO stellt das einen Verstoß gegen die unternehmerischen Sorgfaltspflichten dar.

Die Aufsichtsbehörde ICO sah in den Vorfällen Verstöße gegen die Grundsätze der DSGVO, insbesondere durch die Erhöhung des Risikos für personenbezogene Daten. Dieses Risiko wurde durch nicht ausreichende Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen (TOM) erhöht. Die Verarbeitung der betroffenen Daten entsprach damit nicht den Grundsätzen des Artikel 5 DSGVO.

Bemessung der Rekord-Bußgelder

Bei Bemessung der Bußgelder fließen beispielsweise die Anzahl der betroffenen Daten, die Kategorien der Daten und die Kooperation der jeweiligen Verantwortlichen mit der Aufsichtsbehörde mit ein. Und natürlich ist Ausgangspunkt auch der weltweite Jahresumsatz, so wie es in der DSGVO vorgesehen ist.

Beiden Unternehmen wurde die Möglichkeit eingeräumt, sich zu den angekündigten Bußgeldern und den vorgeschlagenen Feststellungen zu erklären, bevor die Aufsichtsbehörde die Höhe der Bußgelder abschließend festlegt. Sowohl British Airways als auch Marriott haben angekündigt, eine solche Stellungnahme abzugeben.

Meinung des Datenschutzexperten Timo Schutt

Die Einschläge werden also heftiger, vor allem was die Höhe der Bußgelder angeht. Die nächsten Rekord-Bußgelder sind nur eine Frage der Zeit. Wir sind hier natürlich auch im Bereich globaler Konzerne, wo wir von anderen Sphären in Sachen Bußgeldbemessung sprechen. Daher sollte dieser Beitrag nicht als Panikmache missinterpretiert werden.

Aber die Meldung zeigt eines doch ganz deutlich: Die Aufsichtsbehörden nutzen aktiv die Verpflichtung der Unternehmen zur Meldung von Datenpannen nach Artikel 33 DSGVO aus. Zwar ist im deutschen BDSG geregelt, dass die Aufsichtsbehörden eine Meldung nicht zu Lasten der Verantwortlichen nutzen dürfen. Aber der LfDI Baden-Württemberg sagt – meines Erachtens zurecht – dass diese Regelung im deutschen BDSG europarechtswidrig ist und daher nicht angewendet werden darf. Denn die DSGVO bietet schlicht keine Möglichkeit einer abweichenden Regelung durch den deutschen Gesetzgeber.

Einziger sinnvoller Rat aus meiner Sicht kann daher sein: Machen Sie Ihr Unternehmen DSGVO-konform. Wie das geht, erkläre ich Ihnen sehr gerne. Und natürlich unterstütze ich Sie dabei. Egal von welchem Punkt aus wir starten.

Ich freue mich auf Ihr Feedback an 0721 / 120 500 oder ra-schutt@schutt-waetke.de

Mehr zum Datenschutz und der DSGVO finden Sie auf meinem DSGVO-Portal. Schauen Sie einmal vorbei.

Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht

Urheberangabe für das Foto für diesen Beitrag: