Während deutsche Behörden DSGVO - Verstöße noch relativ zurückhaltend ahnden, hat die britische ICO (Information Commissioner’s Office) im Juli 2019 das bisher höchste Bußgeld angekündigt. Nach dem Willen der Behörde soll die Fluggesellschaft British Airways als Folge von Datenschutzverstößen, die im September 2018 auftraten, ein Bußgeld in Höhe von rund 1,5 Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres zahlen – ein Betrag von GBP 183,39 Mio. British Airways kann nun bei der ICO eine Stellungnahme zu den Vorwürfen und der angekündigten Sanktion einreichen.

Bei dem Vorfall haben Hacker Daten von rund 500.000 Kunden aufgrund einer Sicherheitslücke im Online - Buchungssystem abgefangen. Neben Log - in Daten wurden so vor allem Kreditkartendaten und Daten anderer Bezahlmethoden, Buchungsdetails, Namen und Adressen abgegriffen. British Airways hatte seit Bekanntwerden des Lecks mit der ICO kooperiert und seine Sicherheitsstandards verschärft.

Der Fall steht im deutlichen Kontrast zur bisherigen Sanktionierung von DSGVO - Verstößen in Deutschland. Zwar gibt es keine offizielle Statistik, welche Verstöße und Bußgeldhöhen auflistet. Nach Medienberichten aus Mai 2019 wurden in Deutschland bisher an die 100 Bußgelder mit einem Gesamtvolumen von annähernd einer halben Millionen Euro verhängt. Im Vergleich zu dem angedrohten Bußgeld für British Airways liegen die Bußgelder in Deutschland also bislang deutlich niedriger – so lag der Durchschnittswert der in Nordrhein - Westfalen verhängten Bußgelder bei nur EUR 433, während in Baden - Württemberg das höchste Bußgeld einen Wert von EUR 80.000 betrug und andere Länder teils auch noch keine Bußen verhängt haben.

Europaweit wurden bis April 2019 mehr als 200.000 Bußgelder verhängt, die bis dahin ein Gesamtvolumen von rund EUR 56 Mio. umfassten – davon entfielen allein EUR 50 Mio. auf das durch die französische Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) verhängte Bußgeld gegen Google. In Italien wurde im Juni ein Bußgeld in Höhe von EUR2 Mio. verhängt, in Holland wurde ein Krankenhaus im Juli mit einer Sanktion von EUR 460.000 belegt und ein Krankenhaus in Portugal muss wegen ähnlicher unzureichender technischer und organisatorischer Maßnahmen EUR 400.000 Buße zahlen. Andere Länder dagegen haben noch nicht von den Sanktionsmöglichkeiten bei Datenschutzverstößen Gebrauch gemacht und verwarnen nur.

Es ist jedoch zu erwarten, dass sich dies zeitnah ändert. Auch die Sanktionierungspraxis in Deutschland hat bereits in der ersten Jahreshälfte 2019 zugenommen. Dabei bergen Bußgelder ein spezielles Risiko. Zwar bieten Cyber - Versicherungen – soweit gesetzlich zulässig – regelmäßig Deckung für ein DSGVO - Bußgeld an, gleichwohl ist es hoch umstritten, ob Bußgelder überhaupt versicherbar sind. Bisher fehlt dazu Rechtsprechung in Deutschland. Die wohl herrschende Meinung in Deutschland geht aber davon aus, dass eine derartige Versicherung gegen § 138 BGB verstößt, da sie den Sanktionszweck einer Geldbuße untergraben würde. Weder käme es zu dem gewünschten Abschreckungs - noch zu einem Bestrafungseffekt. Wir halten es allerdings für fraglich, ob dies so pauschal in der Tat auf alle fraglichen Szenarien zutrifft und sehen gute Gründe für differenzierte Betrachtungen. Angesichts des hohen Schadenspotentials wäre es sicherlich wünschenswert, wenn diese Frage weiterer Klärung zugeführt würde.