Die britische Datenschutzbehörde verhängte unlängst zwei durchaus beachtliche Bußgelder: eine Geldbuße gegen die Hotelkette Marriott in Höhe von 14 Millionen Pfund und eine weitere Geldbuße in Höhe von 20 Millionen Pfund gegen die Fluglinie British Airways.

Warum?

Verhängt wurden die Geldbußen anlässlich von Sicherheitspannen der belangten Verantwortlichen bei denen auch personenbezogene Daten betroffen waren. Im Fall der British Airways handelte es sich um eine mehr als zwei Monate andauernde Cyberattacke aus dem Jahr 2018 in welcher die personenbezogenen Daten von mehr als 400.000 Kunden gehackt wurden. Im Fall der Hotelkette Marriott war es auch ein Sicherheitsvorfall aus dem Jahr 2014 (welcher allerdings erst im November 2018 entdeckt wurde) der Grund für die Geldbuße. Im Zuge des Sicherheitsvorfalles wurden die personenbezogenen Daten von potentiell 340 Millionen (!) Menschen kompromittiert. Nach Bekanntwerden der Vorfälle leitete die britische Aufsichtsbehörde ( Information Commissioner's Office - ICO) gegen die Verantwortlichen Verfahren ein und stellte in dessen Zuge gleich klar, dass den Verantwortlichen ein Bußgeld von 120 bzw 180 Millionen Pfund drohen.

Doch dann gings in Verhandlungen

Nach mehreren Verhandlungsrunden (und Pandemie-bedingten Verzögerungen) hat das ICO die Verfahren nunmehr beendet und jeweils Geldbußen im Ausmaß von 14 bzw 20 Millionen Pfund gegen die beiden Verantwortlichen ausgesprochen.

Warum plötzlich so gering ?

Die Frage ist nun: warum fallen die Strafen letztlich so gering aus?
Dies hat mehrere Gründe:

  1. Anders als die Datenschutzbehörde in Österreich oder aber die Datenschutzbehörden in Deutschland, welche das Thema Strafhöhe erst im Urteil ansprechen und sich bis dahin in Schweigen kleiden, leitet das britische ICO ein Verfahren regelmäßig mit einer "Notice of intent to fine" an. In dieser wird gleich eine konkrete Strafe festgelegt und dem Verantwortlichen die Möglichkeit eingeräumt sich gegen die erhobenen Vorwürfe und/oder das Strafmaß zu verteidigen:

  2. Von dieser Möglichkeit machten beide Verantwortliche Gebrauch und zeigten sich in den Ermittlungsverfahren grundsätzlich kooperationsbereit.

  3. Weiters konnten die Verantwortlichen einzelne "Anklagepunkte" seitens des ICO entkräften. Beispielsweise konnte British Airways nachweisen, dass die Sicherheitspanne nicht ausschließlich auf mangelhafte Sicherheitsmaßnahmen zurückzuführen war, sondern es sich um einen gezielten Angriff von Außen handelte.

  4. Auch wurden nach Bekanntwerden des Vorfalls Schritte unternommen, welche die entstandenen Schäden minimieren sollten. Beispielsweise wurden betroffene Kunden informiert oder aber die internen Sicherheitsmaßnahmen erhöht.

  5. Vor allem aber erklärt sich der durchaus gewaltige Unterschied zwischen den anfänglich angedrohten und nunmehr letztlich ausgesprochenen Bußgeldern hauptsächlich durch die Auswirkungen der Corona-Pandemie. So orientierten sich - wie es die DSGVO in Art 83 vorsieht - die ursprünglich angedrohten Geldbußen noch an den üppigen Umsätzen des Jahres 2018 (jeweils 1,5% im Fall von British Airways bzw. 3% im Fall von Marriott) - aktuell dürften die Umsätze beider Unternehmen Corona-Bedingt deutlich geringer ausfallen - was in diesem Urteil berücksichtigt wird.

Fazit:

Ob British Airways die Strafen des ICO akzeptieren oder hiergegen Rechtsmittel erheben werden ist ebenfalls noch abzuwarten. Vielleicht sinkt das Bußgeld weiter, wir werden berichten.