ICO will British Airways mit 204 Millionen Euro Busse wegen einer Datenschutzpanne belegen


Ihre Kontakte

Aufgrund einer im September 2018 gemeldeten Datenschutzpanne bei British Airways beabsichtigt das Information Commissioner’s Office (ICO), eine Busse in Rekordhöhe von 183.39 Mio. GBP gestützt auf die EU-Datenschutzgrundverordnung (DSGVO) zu verhängen. Das ICO kam nach ausführlicher Untersuchung zum Ergebnis, dass British Airways keine angemessenen technischen und organisatorischen Massnahmen implementiert hatte, um die Kundendaten vor ungerechtfertigtem Zugriff zu schützen. British Airways hat nun jedoch noch die Möglichkeit, zu den Ergebnissen Stellung zu nehmen, kündigte aber bereits an, gegen die noch zu verhängende Busse vorzugehen.

Datenschutzpanne und fehlende angemessene Sicherheitsvorkehrungen

Während des mutmasslichen Zeitraums vom Juni 2018 bis September 2018, gelang es Hackern, Nutzer der British Airways Webseite auf eine betrügerische Webseite umzuleiten. Über die betrügerische Webseite erbeuteten die Angreifer personenbezogene Daten von rund 500’000 British Airways Kunden. Unter anderem wurden Login-Informationen, Namen, Adressen, Buchungsdetails und Zahlungsinformationen abgegriffen. Dabei handelt es sich um personenbezogene Daten, welche gemäss der DSGVO durch entsprechende technische und organisatorische Massnahmen geschützt werden müssen.

Die vom ICO beabsichtige Busse resultiert aus einer von British Airways selbst gemeldeten Datenschutzpanne («Data Breach») im September 2018. Das ICO fungierte bei der Untersuchung als federführende Aufsichtsbehörde im Auftrag der Datenschutzbehörden anderer EU-Mitgliedsstaaten (sog. One-Stop-Shop-Prinzip). Gestützt auf die Ergebnisse der Untersuchung hält das ICO in seiner Mitteilung seine Absicht fest, British Airways für Verstösse gegen die DSGVO eine Busse in Höhe von rund 183 Millionen Pfund aufzuerlegen. Bevor das ICO die Busse allerdings definitiv aussprechen kann, hat British Airways die Möglichkeit, zu den Ergebnissen der Untersuchung und der Höhe der Busse Stellung zu nehmen.

Begründung des ICO noch ausstehend

Obwohl das ICO nicht explizit erwähnt, gegen welche Normen der DSGVO British Airways verstossen haben soll, dürfte der Grundsatz der Integrität und Vertraulichkeit einschlägig sein (Art. 5 Abs. 1 lit. f DSGVO). Danach muss bei der Verarbeitung von personenbezogenen Daten eine angemessene Sicherheit gewährleistet werden, was insbesondere auch den Schutz vor unbefugter oder unrechtmässiger Verarbeitung beinhaltet.

Art. 32 DSGVO konkretisiert diesen Grundsatz, indem er geeignete technische und organisatorische Massnahmen verlangt, um ein angemessenes Schutzniveau für Daten gewährleisten zu können. Dazu gehören unter anderem die Verschlüsselung von Daten und die dauerhafte Sicherstellung der Vertraulichkeit der Systeme und zur Datenverarbeitung (vgl. Art. 32 Abs. 1 lit. a und b DSGVO).

Die entsprechenden Massnahmen müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die Rechte und Freiheit natürlicher Personen vorgenommen werden. Schliesslich hat der für die Verarbeitung der personenbezogenen Daten Verantwortliche bei einer Verletzung des Schutzes personenbezogenen Daten die Pflicht zur Meldung an die zuständige Datenschutzbehörde (Art. 33 DSGVO). Dabei hat der Verantwortliche die Verletzungen sowie die ergriffenen Abhilfemassnahmen zu dokumentieren und diese der zuständigen Aufsichtsbehörde zur Überprüfung zu übergeben (sog. Accountability).

British Airways hatte zwar den Data Breach gemeldet und nach dem Data Breach auch seine Sicherheitsvorkehrungen verbessert. Dennoch kommt das ICO nach umfassender Untersuchung zum Schluss, dass British Airways keine genügenden technischen und organisatorischen Massnahmen zum Schutz personenbezogener Daten ihrer Kunden getroffen und dadurch die entsprechenden Rechte von rund 500.000 Kunden verletzte habe.

Möglichkeit zur Stellungnahme und Milderung der Busse

In der Pressemitteilung des ICO hebt dieses hervor, dass British Airways während der Untersuchung mit der Aufsichtsbehörde kooperiert habe. Bevor das ICO nun die definitive Busse verhängt, haben sowohl British Airways als auch die anderen involvierten Datenschutzbehörden die Möglichkeit zur Stellungnahme. Dabei dürfte British Airways insbesondere die Argumente in Feld führen, dass sie bei der ICO-Untersuchung kooperiert und seit dem Vorfall ihre Sicherheitsvorkehrungen verbessert habe.

Dies ist insofern von Bedeutung, als die DSGVO die Höhe der Sanktion von verschiedenen Kriterien abhängig macht (vgl. dazu Art. 83 Abs. 2 DSGVO). Bei der Festsetzung der Busse werden gemäss der DSGVO beispielweise Schwere, Art und Dauer des Verstosses oder das Verschulden (Vorsatz oder Fahrlässigkeit), in Betracht gezogen. Dabei spielt es nicht zuletzt auch ein Rolle, ob der Verantwortliche Massnahmen zur Minderung des Schadens vorgenommen hat oder ob dieser bereits früher gegen die DSGVO verstossen hatte. Die DSGVO sieht insbesondere vor, dass die Zusammenarbeit mit der Behörde nach ihrem Umfange berücksichtigt wird, sich also positiv auswirken kann (Art. 83 Abs. 2 lit. f DSGVO).

Grundsätzlich stipuliert die DSGVO Bussen von bis zu 20’000’000 EUR oder bis 4% des gesamten weltweit erzielten Jahresumsatzes – je nach dem welcher der beiden Wert höher ist. Im vorliegenden Fall beabsichtigt das ICO, British Airways eine Busse von rund 183 Mio. GBP, somit rund 1.5% vom weltweiten Umsatz des Geschäftsjahres 2017, aufzuerlegen. Bis zum jetzigen Zeitpunkt gibt das ICO allerdings nicht bekannt, gestützt auf welche DSGVO-Verstösse die Busse erfolgt und mit welchem Grad an Verschulden die Höhe der Busse berechnet wurde. Es bleibt somit abzuwarten, mit welcher Begründung die Hohe Busse gerechtfertigt werden wird.

Der Mutterkonzern von British Airways, die IAG (International Airlines Group), kündigte Widerspruch gegen den Bussenentscheid an.

Bedeutung der Entscheidung

Nach dem Inkrafttreten der Verordnung bestand grosse Unsicherheit in Bezug auf die Frage, wie die Sanktionierung in der Praxis umgesetzt werden wird. Bereits vor der Anwendung der DSGVO am 25. Mai 2018 war allgemein bekannt, dass es bis zu diesem Stichtag vielen Unternehmen nicht möglich sein wird, ihre Datenschutzvorkehrungen vollständig den neuen und schärferen Bestimmungen anzupassen. Die Praxis ging grundsätzlich von einer gewissen «Schonzeit» aus, in der die Bussen noch nicht allzu hoch ausfallen würden. Diese Periode der Zurückhaltung der Datenschutzbehörden scheint sich nun langsam dem Ende zu zuneigen. Am 21. Januar 2019, beispielsweise, verhängte die französische Datenschutzbehörde CNIL gegen Google eine Busse in Höhe von 50 Mio. EUR (MLL News vom 25. Februar 2019). Mit der Busse gegen Google wurde allgemein vom Ende der Schonfrist ausgegangen. Die durch das ICO beabsichtigte Busse gegen British Airways, scheint diese Annahme zu bestätigen.

Auch Schweizer Unternehmen können DSGVO-Bussen auferlegt werden

Bekanntlich können auch Schweizer Unternehmen vom Anwendungsbereich der DSGVO erfasst sein und zwar auch dann, wenn sie über keine Niederlassung in der EU bzw. im EWR verfügen. So gelangt die DSGVO namentlich zur Anwendung, wenn Personen in der EU bzw. im EWR Waren oder Dienstleistungen angeboten werden (sog. Targeting-Kriterium). Gerade bei Angeboten, die inhärent internationaler Natur sind, wird der räumliche Anwendungsbereich regelmässig eröffnet sein und die DSGVO extraterritoriale Wirkung entfalten (vgl. zum Ganzen auch MLL-News vom 10. Dezember 2018). Im Falle eines Verstosses gegen die DSGVO bestünde somit auch für Schweizer Unternehmen, welche vom Anwendungsbereich der DSGVO erfasst sind, das Risiko einer Busse in Millionenhöhe.

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Meyerlustenberger Lachenal Froriep

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 02/22 mit Fokus auf der Energiewende. Wir beschäftigen uns mit der Anpassung des Energiegesetzes und der Umsetzung in den Kantonen Genf und Zürich. Abgerundet wird das Thema mit einem Beitrag zu Solaranlagen. Ergänzt wird unser Update durch Beiträge zum Bauarbeitengesetz, zum L-QIF und zu steuerlichen Überlegungen zu Umstrukturierungen von Immobilienportfolios.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn, Twitter und Instagram.