Am 8. Juli 2019 hat die britische Datenschutzaufsichtsbehörde (Information Commissioner’s Office – ICO) verkündet, dass sie wegen eines Datenschutzverstoßes ein Bußgeld in Höhe von 183,39 Millionen Britischen Pfund (umgerechnet ca. 204 Millionen Euro) gegen die Fluggesellschaft British Airways erlassen werde.

Der Fall

Zwischen Juni und September 2018 griffen Cyberkriminelle umfassende persönliche Informationen von Kunden von British Airways ab. Sie leiteten die Kunden im Rahmen der Buchung über die Website von British Airways auf eine betrügerische Website weiter und verschafften sich so Zugriff auf deren persönliche Daten (u.a. Namen, Log-in-Daten, Reisedetails und Adressen) sowie Kreditkarteninformationen. Insgesamt waren ca. 500.000 Kunden betroffen.

Die ICO kam im Rahmen ihrer Ermittlungen zu dem Schluss, dass die Cyberattacke durch fehlerhafte Maßnahmen zur Datensicherheit ermöglicht worden sei („poor security arrangements at the company“). Nach ihrer Ansicht verstieß British Airways somit insbesondere gegen die Verpflichtung zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 EU-Datenschutz-Grundverordnung (DSGVO).

Das Bußgeld

Die ICO hat nunmehr eine Erklärung veröffentlicht, dass sie beabsichtige, ein entsprechendes Bußgeld zu verhängen (notice of intent). Diese Veröffentlichung setzt eine 21-Tages-Frist in Gang, innerhalb der sich British Airways und andere EU-Datenschutzaufsichtsbehörden zu den Vorwürfen und dem Bußgeld äußern können. Im endgültigen Bescheid (monetary penalty notice) wird die ICO zusätzliche Gründe zur Bemessung des konkreten Bußgeldes angeben.

Das Bußgeld in Höhe von 204 Millionen Euro liegt bei ca. 1,5 % des Jahresumsatzes von British Airways und wäre das höchste bislang bekanntgewordene Bußgeld wegen eines DSGVO-Verstoßes. Die Höhe des Bußgeldes überrascht, da British Airways nach Angaben der ICO mit der Aufsichtsbehörde kooperierte und die Sicherheitsvorkehrungen umgehend verbesserte.

Fazit und Ausblick

Die Entscheidung der ICO zeigt eine klare Tendenz zu höheren DSGVO-Bußgeldern. Die DSGVO findet in Großbritannien Anwendung, solange der eventuell bevorstehende Brexit nicht vollzogen ist. Nach jetzigem Stand wird der Austritt Großbritanniens aus der EU bis spätestens Ende Oktober 2019 erfolgen. Angesichts dessen ist es zwar fraglich, ob sich andere EU-Datenschutzaufsichtsbehörden die Entscheidung der ICO zum Vorbild nehmen werden. Einige deutsche Datenschutzaufsichtsbehörden haben zuletzt allerdings vermehrt geäußert, künftig einen größeren Fokus auf die Sanktionierung von Verstößen zu legen und einen deutlichen Anstieg der Bußgeldhöhen angekündigt. Insbesondere bei Fragen der Datensicherheit und dem Schutz gegen Cyberkriminalität akzeptieren die Datenschutzaufsichtsbehörden keine Nachlässigkeiten.