Frau Werry, die britische Datenschutzbehörde hat kürzlich angekündigt, hohe Bußgelder in zwei Fällen festsetzen zu wollen. Worum geht es?Der erste Fall betrifft die britische Fluggesellschaft British Airways. Hacker hatten im Sommer 2018 bei einem Angriff auf die Website des Unternehmens Daten von rund 500 000 Kunden abgegriffen. Kunden wurde bei der Flugbuchung von der Website der Fluggesellschaft auf eine andere Seite umgeleitet, wo ihre Daten – einschließlich Kreditkartendaten – ausgelesen wurden. Nach Ansicht der britischen Behörde ICO waren zu schwache Sicherheitsvorkehrungen für den Datendiebstahl verantwortlich. Im zweiten Fall geht es um eine Datenpanne bei der Hotelkette Marriott, bei der Hacker Daten von 383 Millionen Gästen der 2016 von Marriott gekauften Starwood Hotel Gruppe abgegriffen hatten. Zu den erbeuteten Daten zählten 5,25 Millionen unverschlüsselte Ausweisnummern und 385 000 Zahlungskartennummern. Mitursächlich für dieses Leck war die Tatsache, dass Marriott zu wenig dafür getan hatte, die IT-Systeme zu sichern. Wie hoch sind die Bußgelder vorgesehen?Die ICO beabsichtigt, gegen British Airways eine Strafe in Höhe von 204 Mill. Euro und gegen Marriot von 110 Mill. Euro zu verhängen. Es sind die ersten öffentlich bekannten Bußgelder in Großbritannien seit Geltung der Datenschutzgrundverordnung (DSGVO), direkt in Rekordhöhe. Das Bußgeld gegen British Airways entspräche rund 1,5 % des weltweiten Umsatzes im letzten Geschäftsjahr und wäre zugleich das höchste, jemals verhängte Bußgeld wegen eines Verstoßes gegen die DSGVO. Die Strafe gegen Marriott entspräche ca. 0,62 % des Gesamtumsatzes. Wie sind diese extremen Bußgelder im europäischen Vergleich zu erklären?Die Bußgeldpraxis der Datenschutzbehörden in Europa unterscheidet sich noch sehr stark. Das bislang höchste bekannte Bußgeld wurde im Januar 2019 von der französischen Datenschutzbehörde CNIL gegen Google verhängt. Es betrug 50 Mill. Euro. Das zweithöchste Bußgeld in Höhe von 400 000 Euro wurde 2018 in Portugal gegen ein Krankenhaus verhängt. Wie sieht die Situation in Deutschland aus?In Deutschland haben die Aufsichtsbehörden in rund 100 Fällen Bußgelder verhängt, deren Gesamtsumme dabei nur etwa 449 000 Euro beträgt. Das höchste Einzelbußgeld mit 80 000 Euro gab es in Baden-Württemberg. In einigen Bundesländern wurden noch gar keine Bußgelder verhängt. Gab es in Deutschland denn vergleichbare Fälle?Ja, in Baden-Württemberg wurde im November 2018 ein Bußgeld in Höhe von 20 000 Euro gegen Knuddels, den Betreiber eines sozialen Netzwerks, festgesetzt – ebenfalls wegen unzureichender IT-Sicherheit, die zu einer Datenpanne führte. Auch hier konnten Hacker aufgrund dieser Mängel personenbezogene Daten von rund 330 000 Nutzern stehlen. Im Unterschied zu British Airways schlugen sich die schnelle Reaktion, die Kooperation mit der Behörde und die Anpassung der IT-Sicherheit für Knuddels erheblich in der Bemessung des Bußgelds nieder. Müssen Unternehmen befürchten, dass die Bußgelder europaweit signifikant ansteigen werden?Die ICO hat gezeigt, dass Behörden von dem hohen Bußgeldrahmen von bis zu 20 Mill. Euro bzw. 4 % des gesamten weltweiten Vorjahresumsatzes eines Unternehmens Gebrauch machen. Deutsche Aufsichtsbehörden haben ebenfalls klargestellt, dass die Zeit der Milde nun vorüber ist. Was können Unternehmen tun, um verschont zu bleiben?Unternehmen müssen ausreichende technische und organisatorische Maßnahmen ergreifen und insbesondere ihre IT-Systeme überprüfen und absichern, damit es erst gar nicht zu Datenpannen kommt. Erhalten Unternehmen dennoch Kenntnis von einer Datenpanne, sollten sie schnell reagieren können, weshalb ein Data Breach Response Plan notwendig ist. Im Rahmen von M&A Transaktionen sollten Unternehmen einen Fokus auf Datenschutz und Datensicherheit legen, um sich nicht wie Marriott dem Vorwurf mangelnder Due Diligence auszusetzen. Susanne Werry ist Senior Associate von Clifford Chance. Die Fragen stellte Sabine Wadewitz.