ICO: Ankün­di­gung hoher Bus­sen gegen Mar­riott (CHF 122 Mio.) und Bri­tish Air­ways (CHF 226 Mio.)

Die eng­li­sche Auf­sichts­be­hör­de, das Infor­ma­ti­on Commissioner’s Office, hat in zwei Fäl­len hohe Bus­sen in Aus­sicht gestellt:

• Mar­riott: umge­rech­net CHF 122 Mio. gegen Mar­riott Inter­na­tio­nal infol­ge eines Daten­lecks, bei dem Per­so­nen­da­ten von rund 339 Mio. Gästen (davon rund 30 Mio. in der EU) offen­ge­legt wur­den. Das Leck ging auf die Star­wood-Grup­pe zurück, die Mar­riott 2016 erwor­ben hat­te. Es wur­de erst 2018 ent­deckt, und zwar – der Unter­su­chung des ICO zufol­ge – weil Mar­riott beim Kauf der Grup­pe die Due Dili­gence ver­nach­läs­sigt hat­te (Medi­en­mit­tei­lung des ICO);
• Bri­tish Air­ways: umge­rech­net CHF 226 Mio. gegen Bri­tish Air­ways, eben­falls infol­ge eines Daten­lecks aus dem Juni 2018, das auf man­gel­haf­te Sicher­heits­mass­nah­men sei­tens Bri­tish Air­ways zurück­ging und bei dem über eine gefälsch­te Sei­te Per­so­nen­da­ten (u.a. Zahl­kar­ten­da­ten) von rund 500’000 Per­so­nen in kri­mi­nel­le Hän­de gelangt waren.

In bei­den Fäl­len han­delt es sich nicht um eine Bus­se, son­dern um eine sog. “Noti­ce of inten­ti­on to fine”. Die betrof­fe­nen Unter­neh­men haben Gele­gen­heit, zum fest­ge­stell­ten Sach­ver­halt und zur dro­hen­den Bus­se Stel­lung zu nehmen.

Das Vor­ge­hen der ICO zeigt deut­lich – vor dem Hin­ter­grund der (nicht rechts­kräf­ti­gen) Bus­se der CNIL gegen Goog­le und ent­spre­chen­der Aus­sa­gen von Auf­sichts­be­hör­den -, dass die Behör­den euro­pa­weit von einer eher bera­ten­den zu einer stär­ker stra­fen­den Hal­tung über­ge­gan­gen sind.