DSGVO-Verstoß: 205 Millionen Euro Strafe gegen British Airways
Nach einer umfassenden Untersuchung hat das ICO, die britische Datenschutzbehörde, seine Absicht mitgeteilt, gegen die Fluggesellschaft British Airways eine Geldbuße in Höhe von 183,39 Millionen Britische Pfund wegen Verstößen gegen die DSGVO zu verhängen. Die Datensätze von über 500.000 Kunden wurden kompromittiert.
Vorfall bereits im Sommer 2018
Die verhängte Geldstrafe bezieht sich auf einen Angriff, der es Hackern im Sommer 2018 ermöglichte, den Nutzerverkehr durch zwei Sicherheitslücken von der offiziellen Website des Unternehmens auf eine gefälschte Website weiterzuleiten. Hierdurch konnten die Angreifer voraussichtlich ab Juni 2018 personenbezogene Daten von mehr als 500.000 Passagieren erbeuten. Nach Aussage der Datenschutzbehörde handelt es sich bei diesen Daten sowohl um die Logins der Kunden, als auch um Zahlungsinformationen, Kreditkartennummern und Reisebuchungen.
Bereits im September 2018 zeigte British Airways den Vorfall selbst bei der britischen Datenschutzbehörde an, sprach damals allerdings „nur“ von 380.000 betroffenen Kunden. Diese Zahl wurde nun aber sowohl vom Information Commissioner's Office als auch von British Airways nach oben korrigiert.
Die Datenschutzbehörde fährt eine klare Linie
Obwohl British Airways sich von Beginn an kooperativ zeigte und an den Untersuchungen mitarbeitete, äußerte sich die Informationskommissarin Elizabeth Denham in dem Fall sehr deutlich.
Die persönlichen Daten der Menschen sind genau das - persönlich. Wenn ein Unternehmen es versäumt, sie vor Verlust, Beschädigung oder Diebstahl zu schützen, ist dies mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar - wenn Sie mit personenbezogenen Daten betraut sind, müssen Sie sich darum kümmern. Diejenigen, die nicht in meinem Büro vorbeikommen, werden überprüft, ob sie geeignete Schritte zum Schutz der Grundrechte unternommen haben.
British Airways habe die Sicherheitsvorkehrungen verbessert, seit der Vorfall bekannt wurde. Das Unternehmen wird nun Gelegenheit haben, sich gegenüber der Datenschutzbehörde zu den Ergebnissen und Sanktionen in Höhe von umgerechnet 205 Millionen Euro zu äußern.
British Airways enttäuscht – Mutterkonzern kündigt Widerspruch an
Alex Cruz, seines Zeichens Chef von British Airways, zeigte sich dagegen „überrascht und enttäuscht über die Entscheidung der Behörde.“ Der Mutterkonzern des Unternehmens, die IAG kündigte in Person des CEOs Willie Walsh bereits Widerspruch gegen die Entscheidung an.
Bis zum abschließenden Urteil werden noch die Datenschutzbehörden anderer EU-Staaten zu dem Vorfall gehört werden. Nach den Bestimmungen der DSGVO über eine zentrale Anlaufstelle haben die Datenschutzbehörden in der EU, deren Einwohner betroffen sind, auch die Möglichkeit, sich zu den Ergebnissen der britischen Datenschutzbehörde zu äußern.