Die ICO hat Rekordbußgelder angekündigt

Die Britische Datenschutzaufsichtsbehörde, Information Commissioner’s Office (ICO), hat am 8. Juli und 9. Juli zwei mögliche Rekord-Bußgelder angekündigt:
£183 Millionen (ca. 204 Millionen Euro) gegen die britische Fluggesellschaft Britisch Airways, und £99 Millionen (ca. 110 Millionen Euro) gegen die Amerikanische Hotelkette Marriott. Die genannten Bußgelder entsprechen 1,5% des Weltumsatzes der British Airways und 3% des Weltumsatzes von Marriott International.
Beide Fälle resultieren aus Hackerangriffen auf die Webseiten der Unternehmen, die, laut ICO, wegen mangelnden Sicherheitsmaßnahmen stattfinden konnten.
Bei British Airways wurden Kunden beim Surfen und beim Kauf von Flugtickets über die Homepage auf eine Drittwebseite umgeleitet, auf der zwischen Juni und September 2018 die Daten (u.a. Name, Vorname, Bankverbindungen) von rund 500.000 Betroffenen durch Betrüger erhoben wurden.
Im Fall Marriott fand eine Cyberattacke auf das Reservierungsportal der Starwood, eine Hotelgruppe, die Marriott in 2016 gekauft hatte, statt. Zwischen 2014 und November 2018, als der Vorfall entdeckt wurde, konnte auf personenbezogene Daten von 339 Millionen Betroffenen zugegriffen werden (u.a. 8 Millionen Passnummern in Klartext und 5 Millionen Kreditkartendaten), davon 30 Millionen Betroffene aus allen 31 EU- und EFTA-Mitgliedstaaten. Laut ICO hat Marriott „beim Kauf von Starwood die ausreichende Sorgfaltspflicht nicht erfüllt und hätte mehr unternehmen müssen, um die Systeme zu sichern.“
Die Bußgelder stehen jedoch noch nicht fest, da die Unternehmen ein Recht auf Stellungnahme zu den Feststellungen und den angekündigten Bußgeldern innerhalb von 21 Tage haben.
Die ICO, British Airways und Marriott International haben im Rahmen der Untersuchung kooperativ zusammengearbeitet und die Sicherheitsmaßnahmen optimiert. Beide Unternehmen haben angekündigt, dass sie ihr Recht auf Stellungnahme zu den Feststellungen und den angekündigten Bußgeldern im Anspruch nehmen. Erst danach wird die ICO über die tatsächliche Höhe der jeweiligen Strafen entschieden.