British Airways: DSGVO-Strafe von 183,39 Millionen Pfund

Britische Datenschutzbehörden planen British Airways eine Strafe von 183,39 Millionen Pfund aufzubrummen. Grund ist ein Datenschutzskandal zu Flugbuchungen, in denen die Fluggesellschaft im Sommer 2018 verwickelt war.


Anzeige

Die Vorgeschichte: Hack bei British Airways

Ich hatte den Datenschutzvorfall bei British Airways im Blog-Beitrag Datenleaks und Sicherheit (26.10.2018) erwähnt. Bereits am 6. September 2018 musste British Airways (BA) einen Hack eingestehen. In der Zeit zwischen dem 21. August und dem 5. September 2018 wurden Kundendaten von BA-Kunden abgezogen. Im Oktober kam dann ein 'Update' zur Horrormeldung. Eine Untersuchung hat ergeben, dass die Hacker möglicherweise zusätzliche personenbezogene Daten gestohlen haben. Jedenfalls wurden die Inhaber von 77.000 Kreditkarten, die noch nicht benachrichtigt wurden, über einen möglichen Abfluss ihrer Daten (Name, Rechnungsadresse, E-Mail-Adresse, Kartenzahlungsinformationen, einschließlich Kartennummer, Ablaufdatum und CVV) informiert. Vermutet wurde, dass möglicherweise 108.000 Kunden, die ohne Kreditkarte bei BA gebucht haben, ebenfalls gefährdet sind. Potenziell betroffen sind Kunden, die zwischen dem 21. April und dem 28. Juli 2018 Prämienbuchungen (Reward-Bookings) tätigen und eine Kreditkarte verwendeten.

Das dicke Ende folgt jetzt

Der Vorfall fand nach dem Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO, Englisch GDPR) zum 28. Mai 2018 statt. Die Aufsichtsbehörden mussten daher nach den GDPR-Regularien über eine Geldbuße entscheiden. Während Facebook beim Cambridge Analytica-Skandal mit einer Geldbuße von maximal 500.000 Pfund davon gekommen sein dürfte (siehe 'Höchststrafe' für Facebook in England im Analytica-Skandal), sieht es für British Airways schlechter aus.

Blog-Leser Leon hatte mich heute morgen bereits per Mail auf diese Mitteilung des ICO (Information Communication Office) hingewiesen. Die unabhängige britische Behörde wurde eingerichtet, um die Informationsrechte im öffentlichen Interesse zu wahren, die Offenheit der öffentlichen Stellen zu fördern und den Datenschutz für Einzelpersonen zu gewährleisten. Das entspricht in der Position wohl unseren hiesigen Datenschutzbehörden. Die Meldung der ICO enthält im wesentlichen folgende Aussagen.

  • Nach einer umfassenden Untersuchung hat das ICO mitgeteilt, dass es beabsichtigt, British Airways wegen Verstößen gegen die Allgemeine Datenschutzverordnung (GDPR) mit einer Geldbuße von 183,39 Mio. £ zu belegen.
  • Die vorgeschlagene Geldbuße bezieht sich auf den oben erwähnten Cyber-Vorfall, der dem ICO im September 2018 von British Airways gemeldet wurde. Bei diesem Vorfall wurden Benutzereingaben und -Daten zu Flugbuchungen auf der British Airways-Website auf eine betrügerische Seite umgeleitet und von Hackern entwendet. Bei diesem Vorfall, der vermutlich im Juni 2018 begonnen hat, wurden personenbezogene Daten von etwa 500.000 Kunden gefährdet.
  • Die Untersuchung des ICO hat ergeben, dass eine Vielzahl von Informationen durch schlechte Sicherheitsvorkehrungen im Unternehmen beeinträchtigt wurden. Das schließt die Anmeldung (Login), Zahlungsdaten und Reisebuchungsdaten sowie Namens- und Adressinformationen ein.

British Airways hat mit der ICO bei der Untersuchung kooperiert und seine Sicherheitsvorkehrungen seit Bekanntwerden dieser Ereignisse verbessert. Das Unternehmen wird nun Gelegenheit haben, gegenüber dem ICO zu den vorgeschlagenen Feststellungen und Sanktionen Stellung zu nehmen.

Die ICO hat diesen Fall als leitende Aufsichtsbehörde im Auftrag der Datenschutzbehörden anderer EU-Mitgliedstaaten untersucht. Sie hat auch mit anderen Regulierungsbehörden zusammengearbeitet. Im Rahmen der GDPR-Bestimmungen haben die Datenschutzbehörden in der EU, deren Einwohner betroffen sind, auch die Möglichkeit, zu den Ergebnissen der ICO Stellung zu nehmen.

Das ICO wird die Erklärungen des Unternehmens und der anderen betroffenen Datenschutzbehörden sorgfältig prüfen, bevor es seine endgültige Entscheidung trifft. Das ist ein ganz normaler Vorgang – aber es müsste mit dem Teufel zugehen, wenn die Strafe nicht saftig ausfällt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenschutz, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu British Airways: DSGVO-Strafe von 183,39 Millionen Pfund

  1. RUTZ-AhA sagt:

    British Airways hat bereits angekündigt, Widerspruch gegen die Strafzahlung einlegen zu wollen.
    https://www.heise.de/newsticker/meldung/Datenschutzpanne-British-Airways-soll-etwa-204-Millionen-Euro-Strafe-zahlen-4465412.html

  2. deoroller sagt:

    Hier in Deutschland hätte es für eine deutsche Fluggesellschaft eine "Geldbuße" von 2999 Euros und 99 Cent gegeben, natürlich steuerlich absetzbar.

    • Theo Meo sagt:

      Hier in Deutschland hätte man diskutiert ob man die Fluggesellschaft haftbar machen solle oder nichts (Arbeitsplätze!!!) und am Ende wäre das Verfahren verjährt.

Schreibe einen Kommentar zu deoroller Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.