Skip to content
Datenschutzvorfall

204 Millionen Euro Strafe für laxe Datensicherheit

Nach einer Datenpanne im Onlinesystem für Flugbuchungen der British Airways hat die britische Datenschutzbehörde ICO eine ungewöhnlich hohe Geldstrafe verhängt.

Webseite wurde illegal umgeleitet

Im Sommer 2018 war beim Fluganbieter British Airways eine größere Datenpanne aufgetreten. Zwischen dem 21. August und dem 5. September 2018 wurden etwa 429.000 Kunden der Airline bei der Online-Buchung von Flügen auf eine betrügerische Webseite umgeleitet. Deren Betreiber erschlichen sich auf diese Weise persönliche Daten. Darunter waren Passwörter, Adressdaten, E-Mail-Adressen sowie Bankverbindungen bzw. Kreditkartendaten samt CVV-Nummern der Nutzer. Pass- und Ausweisdaten sowie Telefonnummern sollen nach Angaben der Fluggesellschaft nicht entwendet worden sein, wohl aber rund 380.000 Kreditkartennummern. Der Datendiebstahl betraf sowohl Nutzer des Webshops ba.com als auch der App der Airline.

Straftatbestand: Mangelnde Sorgfalt

Die britische Datenschutzbehörde warf der Airline vor, die persönlichen Daten nicht ausreichend gegen Verlust, Betrug und Diebstahl geschützt zu haben. Es handele sich um deutlich mehr als eine Unannehmlichkeit, so die britische Datenschutzbeauftragte Elizabeth Denham in der Pressemitteilung der ICO: „Wenn Ihnen persönliche Daten anvertraut werden, dann müssen Sie darauf aufpassen.“ Die Behörde fordert nun nach Art. 83 DSGVO eine Geldstrafe von 183,39 Millionen Britischen Pfund (knapp 204 Millionen Euro) von British Airways, das sind 1,5 Prozent des Jahresumsatzes in 2017. Es handelt sich um die erste Geldbuße, die in Großbritannien seit Einführung der Datenschutz-Grundverordnung (DSGVO) verhängt wurde – und um die bislang höchste Geldbuße bei Datenschutzverstößen im Vereinigten Königreich überhaupt.

So reagierte das Unternehmen

Der Konzern kündigte Widerspruch gegen die Strafhöhe an, weil er umgehend auf die betrügerische Umleitung reagiert habe und die erschlichenen Daten allem Anschein nach nicht für illegale Zwecke genutzt worden seien. Gleichzeitig bat er die Nutzer der Webseite und der App in ganzseitige Zeitungsanzeigen um Entschuldigung. Die Sicherheitslücke sei sofort nach ihrem Bekanntwerden geschlossen worden.

Um sich vor Datenpannen zu schützen, ist z.B. der Einsatz einer IT-Dokumentation mit Docusnap oder ein Datenschutzgenerator hilfreich.

Hier finden Betroffene weitere Informationen über das Datenleck und können sich als Geschädigte bei der BA melden.

Angebot anfordern 0251 29794740 Remote-Desktop download