Guter Datenschutz kommt aus Wuppertal... und kommt überall hin, wo er gebraucht wird (EU-weit)
UIMC
UIMC

Marriott und British Airways drohen hohe Strafzahlungen – UIMC weist darauf hin: DSGVO findet europaweite Anwendung

12.07.2019, 07:27
Marriott und British Airways drohen hohe Strafzahlungen - DSGVO findet europaweite Anwendung


Die Datenschutzgrundverordnung ist ein gutes Jahr in Kraft. Ihre Wirkung wird immer sichtbarer und für einige Unternehmen spürbar - gerade was die Höhe von Strafen betrifft. In Großbritannien gibt es in dieser Woche zwei spektakuläre Fälle: Zunächst verhängte die Datenschutzbehörde Großbritanniens (ICO) gegen die Fluggesellschaft British Airways ein Bußgeld in Höhe von 205 Millionen Euro. Jetzt traf es die US-Hotelkette Marriott. Sie soll ein Strafgeld von 110 Millionen Euro entrichten. „Die zwei Fälle beweisen: Die DSGVO wird angewandt und für Unternehmen, die sie nicht beachten, richtig teuer“, kommentiert der erfahrene Datenschutzfachmann Dr. Heiko Haaz die jüngsten Entwicklungen. Außerdem werde die DSGVO europaweit angewendet und nicht, wie von Kritikern oft eingewendet, nur in Deutschland oder Österreich. Was ist aus den zwei britischen Fällen zu lernen?

Ein Blick in die Einzelheiten der beiden Datenschutz-Fälle auf der Insel ist lohnenswert. Was war bei British Airways passiert und führte zur Androhung des hohen Bußgeldes von 205 Mio. Euro? Bei einem Angriff hatten Cyberkriminelle 2018 persönliche Daten und Kreditkarteninformationen inklusive Sicherheitscodes (CVV-Nummern) von Kunden der Airline erbeutet. Betroffen waren Kunden der Fluggesellschaft, die auf der Website BA.com oder über die Mobil-App zwischen dem 21. August und dem 5. September eine Buchung vornahmen. Der Vorwurf der britischen Datenschutzbehörde Information Commissioner’s Office (ICO) ist eindeutig: Der Datenabgriff aus dem Sommer 2018 sei auf gravierende Sicherheitsmängel bei der Fluglinie zurückzuführen. Persönliche Daten sind genau das - persönlich und deshalb müsse sich ein Unternehmen sorgfältig um diese Daten kümmern, so argumentiert die britische Datenschutzbehörde glasklar.

Sollte British Airways zahlen müssen, wäre es die höchste Strafe in der EU seit Einführung der DSGVO im Mai 2018. Das bisher höchste DSGVO-Bußgeld liegt bei 50 Millionen Euro und wurde von der französischen Datenschutzbehörde gegen Google verhängt. Allerdings: British Airways will Widerspruch gegen das 205-Millionen-Bußgeld einlegen. Trotzdem bleibt der Eindruck: Die DSGVO zeigt Zähne. Auch der Image-Schaden ist für BA sicherlich nicht zu unterschätzen.

Genauso im Fall der US-Hotelkette Marriott. Das ICO hat eine geplante Strafzahlung von knapp 110 Mio. Euro angekündigt. Das Datenleck bei Marriott war Ende November bekannt geworden. Es hatte sich auf der vom Mitbewerber Starwood übernommenen Gästedatenbank befunden. Insgesamt waren nach Unternehmensangaben etwa 383 Mio. Datensätze betroffen, darunter Ausweis- und Kreditkartennummern. Es wird angenommen, dass die Systeme der Starwood-Hotelgruppe ab 2014 angegriffen wurden. Marriott erwarb Starwood im Jahr 2016, aber die Offenlegung von Kundeninformationen wurde erst 2018 entdeckt. Die Untersuchung des ICO ergab, dass Marriott beim Kauf von Starwood keine ausreichende Sorgfaltspflicht übernommen hat und auch mehr hätte tun sollen, um seine Systeme zu sichern.

„Der Marriott-Fall zeigt, dass gerade bei der Übernahme eines Unternehmens eine hohe Sorgfaltspflicht besteht. Es sind Überprüfungen, Einschätzungen und Rechenschaftsmaßnahmen notwendig, um beurteilen zu können, welches Datenschutzniveau auch bei ‚eingekauften Datenverarbeitungssystemen‘ herrscht“, betont Dr. Haaz, Partner der UIMC und mehrfach bestellter Datenschutzbeauftragter. Andernfalls könne eine Übernahme datenschutzrechtlich schnell eine teure Angelegenheit werden. Bei der Größenordnung nicht verwundernswert: Auch die Hotelgruppe Marriott, mit mehr als 7000 Hotels und Resorts eine der weltweit größten, hat Widerspruch gegen das Bußgeld der ICO angekündigt.


Wuppertal - Veröffentlicht von pressrelations


zurück
Druckversion