Die Britische Datenschutzbehörde, das „Information Commissioner’s Office (ICO)” hat das bisher höchste DSGVO Bußgeld seit Inkrafttreten der Datenschutzgrundverordnung verhängt: Ein Bußgeldbescheid über insgesamt 183,39 Millionen £ (ca. 204,63 Mio. EUR) wird in der nächsten Zeit gegen die Fluggesellschaft British Airways (BA) verhängt werden, teilte Information Commissioner Elizabeth Denham laut Informationen der BBC mit. Die Fluggesellschaft zeigte sich in einer ersten Stellungnahme „Überrascht und enttäuscht“ und kündigte rechtliche Schritte an.
DSGVO Bußgeld – Was war geschehen?
Im Juni 2018 wurden Besucher der Webseite der British Airways an eine gleich gestaltete, aber betrügerische Webseite weitergeleitet. Dadurch gelangten Hacker an personenbezogene Daten von ca. 500.000 BA-Kunden: E-Mail-Adressen, Anmeldedaten, Kredit- und Zahlungskartendaten einschließlich Nummer, Ablaufdatum und CVV-Code sowie Namen und Adressen. Reisedaten seien von dem Angriff nicht betroffen gewesen.
Laut Stellungnahme der Britischen Datenschutzbehörde waren unzureichende Sicherheitsvorkehrungen und eine nicht dem Stand der Technik entsprechende Webseiten-, bzw. IT-Struktur schuld daran, dass der Angriff überhaupt stattfinden konnte.
„Personenbezogene Daten sind genau das – persönlich. Wenn es einer Organisation nicht gelingt, sie vor Diebstahl, Beschädigung oder Verlust zu schützen, ist das mehr als nur eine Unannehmlichkeit. Und deshalb ist das Gesetz klar: Wenn Ihnen personenbezogene Daten anvertraut sind, müssen Sie auf sie aufpassen. Diejenigen, die das nicht tun, sehen sich einer Untersuchung durch meine Behörde ausgesetzt und wir werden überprüfen, ob grundlegende Datenschutzmaßnahmen eingehalten werden.“
Elizabeth Denham, Information Commissioner
Bisherige Bußgelder bei Datenschutzverstößen
Vor Inkrafttreten der Datenschutzgrundverordnung betrug das in Großbritannien maximal mögliche Bußgeld für einen Datenschutzverstoß £500.000. Diese Summe wurde bislang lediglich zweimal verhängt – nämlich gegen Facebook wegen des „Cambridge Analytica“-Skandals und gegen das Finanzdienstleistungsunternehmen Equifax.
Seit 25.05.2018, dem Tag des EU-weiten Wirksamwerdens der Datenschutzgrundverordnung, gelten neue und wesentlich verschärfte Bußgeldregeln. Das DSGVO-Bußgeld beträgt nunmehr entweder maximal 20 Mio. EUR oder maximal vier Prozent des Jahresweltumsatzes – je nach dem, welcher Betrag höher ist. Im Falle von British Airways setzte das ICO die Höhe auf 1,5% des Umsatzes fest.
DSGVO Bußgeld – Situation in Deutschland
In Deutschland sind die Behörden in der Praxis bisher eher zurückhaltend mit der Verhängung von Bußgeldern. Gemäß einer Anfrage der WELT am Sonntag an alle 16 Landesdatenschutzbehörden, die alle außer die Behörden von Thüringen und Mecklenburg-Vorpommern beantwortet haben, wurden im ersten Jahr der Datenschutzgrundverordnung insgesamt 75 Bußgelder verhängt. Die Gesamthöhe betrug 449.000 EUR, also durchschnittlich 6.000 EUR pro Fall. Insgesamt haben die Datenschutzbehörden von sechs Ländern Bußgeldbescheide erlassen: Baden-Württemberg, Berin, Hamburg, Nordrhein-Westfalen, Rheinland-Pfalz und das Saarland. Das höchste DSGVO-Bußgeld hat Baden-Württemberg ausgesprochen, die meisten wurden in Nordrhein-Westfalen verhängt (insgesamt 36).
Diese Daten zeigen, dass sich die Befürchtungen vieler Unternehmen, es werde mit der DSGVO zu einer massiven Zunahme an Bußgeldverfahren und einer spürbaren Erhöhung der Bußgelder kommen, bislang nicht erfüllen. Dies mag einerseits an der zurückhaltenden Behördenpraxis unter Geltung des alten Bundesdatenschutzgesetzes liegen, andererseits an der in vielen Fällen unzureichenden sachlichen und personellen Ausstattung der Datenschutzbehörden. Jedoch sei Unternehmen geraten, Datenschutz und die Einhaltung der DSGVO deshalb nicht auf die leichte Schulter zu nehmen. Die Verwaltungspraxis wird sich im Laufe der Zeit ändern – das Beispiel aus Großbritannien legt das nahe.
Bei Anmerkungen oder Fragen zum Artikel können Sie mir schreiben.