News DSGVO-Verstoß: 205 Millionen Euro Strafe gegen British Airways

[SVΞN]

Nach einer umfassenden Untersuchung hat das ICO, die britische Datenschutzbehörde, seine Absicht mitgeteilt, gegen die Fluggesellschaft British Airways eine Geldbuße in Höhe von 183,39 Millionen Britische Pfund wegen Verstößen gegen die DSGVO zu verhängen. Die Datensätze von über 500.000 Kunden wurden kompromittiert.

Zur News: DSGVO-Verstoß: 205 Millionen Euro Strafe gegen British Airways

 

[fireblade_xx]

Die Härte überrascht mich jetzt doch etwas... Nicht das es falsch wäre, aber wenn man die bisherigen Bußgeldhöhen vergleicht, ist das schon ein Brett v. a. zu den von deutschen Aufsichtsbehörden verhängten.

 

[S4lv4t0r]

Also für mich klingt das jetzt weniger nach Datenmissbrauch, ich hatte die DSGVO eigentlich mehr in diese Richtung geschoben und dachte sie soll verhindern, dass Unternehmen mit unseren Daten machen was sie wollen..
Aber wenn das Unternehmen jetzt quasi angegeiffen worden ist dann finde ich die Strafe doch ziemlich hart und eigentlich sollte es dann doch eher die Datenkraken treffen. Aber ich bin auch kein Richter und kenne mich damit auch kaum aus.

 

[Volkimann]

Also über die Summe lässt sich definitiv streiten. Aber mir würden ganz andere Vereine einfallen, denen mal entsprechende Urteile gut täten. Angefangen bei unseren Telekommunikationsunternehmen, welche munter die Daten mit dubiosen Callcentern teilen u.ä.

 

[EduardLaser]

Finde ich schon gerechtfertigt die Höhe, denn klar ist auch wenn es sich um einen Angriff handelte, hat BA versäumt die Kunden entsprechend zu schützen.

 

[DerKonfigurator]

https://winfuture.de/news,109463.html
Wieso müssen die nur 250.000€ bezahlen "was den maximal möglichen Betrag darstellt"

 

[Domi83]

Angefangen bei unseren Telekommunikationsunternehmen

Telekommunikationsunternehmen und auch die Behörden / Ämter (meine persönliche Meinung)... Mittlerweile ist es egal, da es auf die GEZ diese Kopf-Pauschale (pro Haushalt) gibt, aber vor einigen Jahren hat die GEZ nur von diversen Personen erfahren, wenn das Einwohnermeldeamt der örtlichen Kommune etwas preisgegeben hat.

Nächstes Beispiel wären dann (wenn man bei Kommunen oder Ämtern ist) die Abteilungen, die für Gewerbe zuständig sind. Dass sie das Finanzamt oder auch IHK informieren ist eine Sache... aber irgendwo auf diesem kommunikativen Weg sind meine Firmendaten auch an andere gegangen.

So etwas sollte man ebenfalls einschränken oder mit einer Unterschrift sogar generell verbieten.

Wobei die Summe der Strafe schon saftig ist... hätte nicht mit solch einer Zahl durch DSGVO gerechnet.

 

[DeusoftheWired]

Hintergrund zum Hack, der via JavaScript-Injection stattfand: https://medium.com/asecuritysite-wh...-pin-pointed-through-time-lining-dd0c2dbc7b50

 

[Magellan]

Und auf welchem Teil der DSGVO genau basiert dieses Urteil? Ein Hackerangriff tangiert die eigentlichen DSGVO Themen doch eigentlich gar nicht, was habe ich da bisher übersehen?

 

[huluhulu]

die DSGVO wurde von leuten verordnet, die keinen blassen schimmer haben.
"ein hacker hat..."
ja... und?
ist nun mal so. kein system ist 100% safe.

warum da nun die british airways millionen zahlen muss ist mir schleierhaft.

haben ja nicht offensichtlich mit personendaten gehandelt.

Ein Hackerangriff tangiert die eigentlichen DSGVO Themen doch eigentlich gar nicht, was habe ich da bisher übersehen?

das frage ich mich auch! kann nur an den unwissenden idioten liegen; die die DSGVO "erfunden" haben.
u.a. juristen, politiker und dergleichen.
eben leute die einen posten besetzen ohne funktion oder mehrwert.

damit die DSGVO überhaupt greifen könnte, müsste alles auf open source basieren.
wie soll man sonnst exploits eindeutig zuordnen bzw. überprüfen?
eine ominöse sicherheitslücke ohne code-einsicht? aha... glaskugel und so.

alleine mal was da mit netzwerkhardware abgeht macht die DSGVO schon überflüssig.
cisco hat keine open source firmware.
ergo kann ein verschlüsselter datenaustausch gar nicht zu 100% garantiert werden.

 

[QXARE]

Hintergrund zum Hack, der via JavaScript-Injection stattfand: https://medium.com/asecuritysite-wh...-pin-pointed-through-time-lining-dd0c2dbc7b50

JavaScript war offensichtlich nur das Mittel zum Zweck. Was für ein lächerlicher Artikel das auch ist...

Und auf welchem Teil der DSGVO genau basiert dieses Urteil? Ein Hackerangriff tangiert die eigentlichen DSGVO Themen doch eigentlich gar nicht, was habe ich da bisher übersehen?

Habe ich mir auch soeben gedacht, irgendwie absurd... Aber, EU!

 

[Palomino]

Das ist mal eine klare Ansage, wie Unternehmen in Großbrittanien mit personenbezogenen Daten umzugehen haben. Beinahe täglich kommen Meldungen über Datenlecks hoch und fast immer kann man sagen, dass die Schutzvorkehrungen unzureichend waren. IT-Sicherheit wird leider auch im Jahr 2019 immer noch sehr szeivmütterlich behandelt und die Strafen sind oft einfach nur lächerlich, außer sie kommen von der EU.

 

[Yann1ck]

Es geht bei der DSGVO ja nicht nur um den Verkauf von Daten und was sonst noch so durch die Presse gegangen ist. Sondern sie schafft auch einen europaweiten Rahmen wie man mit personenbezogenen Daten umzugehen hat und das man deren Sicherheit zu gewährleisten hat. Dabei werden meines Wissens "Verfahren die dem Stand der Technik entsprechen" (oder so ähnlich) gefordert. Wenn sich BA jetzt hacken lässt und ihre Seite nachweislich nicht sicher war (scheint hier ja der Fall zu sein), wird eine entsprechende Strafe ausgesprochen.
Ist doch gut und zwingt Unternehmen mehr für die IT Sicherheit zu tun.

 

[EduardLaser]

Artikel 4 DSGVO „Begriffsbestimmungen“
(12)„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. […]

Welche Schritte Unternehmen bei einer Verletzung nach dieser Definition gehen müssen, ist in Kapitel 33 und 34 der DSGVO geregelt:

Das ist zwar nicht direkt aus Großbritannien, aber für Verständnis worum es geht

Im Grunde muss jedes Unternehmen für die Sicherung der Daten sorgen.

 

[hellobello25]

Was ich nicht verstehen die Geschädigten sind doch die Kunden und nicht die EU
Warum möchte die EU dann so großzügig kassieren
Würde ein Petruskreuz vor dem Saftladen namens EU rein Rammen

Die sollen sich mal um deren Kompetenz würdigen Themen beschäftigen wie die Krümmung von Bananen oder Salz auf Brezen

 

[huluhulu]

und das man deren Sicherheit zu gewährleisten hat.

und genau das geht aber nicht ohne code einsicht.

 

[Mustis]

Also für mich klingt das jetzt weniger nach Datenmissbrauch, ich hatte die DSGVO eigentlich mehr in diese Richtung geschoben und dachte sie soll verhindern, dass Unternehmen mit unseren Daten machen was sie wollen..

Genau das. Nur was bringt es, wenn die Unternehmen teils eklatante Sicherheitsmängel ihrer IT Strukturen nicht angehen, weil es ja "nur" Kundendaten betrifft und die Datensicherheit Geld kostet und es somit ein leichtes für Kriminelle ist, an diese Daten zu gelangen. Das ist ein Vergehen durch Unterlassen und genauso zu behandeln wie aktive Datenweitergabe.

Und auf welchem Teil der DSGVO genau basiert dieses Urteil? Ein Hackerangriff tangiert die eigentlichen DSGVO Themen doch eigentlich gar nicht, was habe ich da bisher übersehen?

Natürlich. Die Datensicherheit und Datenintigrität ist dort ganz klar erwähnt. Siehe dazu auch POst weiter vorne.

Erschreckend mit welcher Ahnungslosigkeit hier jetzt wieder gegen die EU gewettert wird. Keine Ahnung zur Thematik, davon reichlich aber eine Meinung... Ich meine hier sind nicht mal die Grundzüge der DSGVO bekannt aber man weiß sicher, dass die EU hier nicht DSGVO konform handelt. Oo

 

[Magellan]

@EduardLaser Danke, das muss ich mir wohl bei Gelegenheit nochmal genauer ansehen, dachte es ginge nur um das "was darf man erfassen, wie muss man es kommunizieren und was darf man damit machen" und nicht um die technischen Sicherheitsaspekte.

 

[Phear]

Ist doch gut und zwingt Unternehmen mehr für die IT Sicherheit zu tun.

Da gibt es halt Grenzen. Am Ende des Tages ist es immer nur die Frage, ob es sich lohnt. An Daten kommt man immer, wenn man genug Zeit und Geld zur Verfügung hat.
Da hier ja keine Details zum Angriff vorliegen, fällt es schwer das zu beurteilen. Es wird schon etwas dran sein. Ein gewisses Maß an Fahrlässigkeit muss wohl vorhanden sein für solche Urteile.

 

[Atkatla]

die DSGVO wurde von leuten verordnet, die keinen blassen schimmer haben.
"ein hacker hat..."
ja... und?
ist nun mal so. kein system ist 100% safe.
warum da nun die british airways millionen zahlen muss ist mir schleierhaft.

Unabhängig von diesem Fall (weil keiner die Hintergründe und das Sicherheitskonzept von BA kennt): es ist richtig dass kein System zu 100% absicherbar ist. Es spricht doch aber nichts dagegen, Strafen zu verhängen, wenn ein Betreiber nicht dem Stand der Technik nach sinnvolle Maßnahmen ergriffen hat. Nur so kann man verhindern, dass Firmen mit dem Argument "nix ist 100% sicher" noch zusätzlich auf Kosten der Sicherheit sparen. Ergo müsste bei dem Verfahren geprüft werden, welche Sicherheitsmaßnahmen ein verurteiltes Unternehmen bei dem betroffenen System verwendet hat und ob diese angemessen waren.

Zusagen die DSGVO, sei sinn- und schimmerfrei, nur weil es keine 100%ige Sicherheit gibt, ist absolut zu kurz gedacht. Denn es geht nicht darum, 100%ige Sicherheit zu bekommen (was unmöglich ist), sondern die Sicherheit personenbezogener Daten möglichst weit zu erhöhen und dabei auch ein Werkzeug gegen Firmen zu haben, wo gerne bei der IT gespart wird, weil diese noch immer noch viel zu oft nur als Kostenfaktor angesehen wird.