Die englische Aufsichtsbehörde, das Information Commissioner’s Office, hat in zwei Fällen hohe Bussen in Aussicht gestellt:
- Marriott: umgerechnet CHF 122 Mio. gegen Marriott International infolge eines Datenlecks, bei dem Personendaten von rund 339 Mio. Gästen (davon rund 30 Mio. in der EU) offengelegt wurden. Das Leck ging auf die Starwood-Gruppe zurück, die Marriott 2016 erworben hatte. Es wurde erst 2018 entdeckt, und zwar – der Untersuchung des ICO zufolge – weil Marriott beim Kauf der Gruppe die Due Diligence vernachlässigt hatte (Medienmitteilung des ICO);
- British Airways: umgerechnet CHF 226 Mio. gegen British Airways, ebenfalls infolge eines Datenlecks aus dem Juni 2018, das auf mangelhafte Sicherheitsmassnahmen seitens British Airways zurückging und bei dem über eine gefälschte Seite Personendaten (u.a. Zahlkartendaten) von rund 500’000 Personen in kriminelle Hände gelangt waren.
In beiden Fällen handelt es sich nicht um eine Busse, sondern um eine sog. “Notice of intention to fine”. Die betroffenen Unternehmen haben Gelegenheit, zum festgestellten Sachverhalt und zur drohenden Busse Stellung zu nehmen.
Das Vorgehen der ICO zeigt deutlich – vor dem Hintergrund der (nicht rechtskräftigen) Busse der CNIL gegen Google und entsprechender Aussagen von Aufsichtsbehörden -, dass die Behörden europaweit von einer eher beratenden zu einer stärker strafenden Haltung übergegangen sind.