Britische Datenschutzbehörden planen British Airways eine Strafe von 183,39 Millionen Pfund aufzubrummen. Grund ist ein Datenschutzskandal zu Flugbuchungen, in denen die Fluggesellschaft im Sommer 2018 verwickelt war.
Anzeige
Die Vorgeschichte: Hack bei British Airways
Ich hatte den Datenschutzvorfall bei British Airways im Blog-Beitrag Datenleaks und Sicherheit (26.10.2018) erwähnt. Bereits am 6. September 2018 musste British Airways (BA) einen Hack eingestehen. In der Zeit zwischen dem 21. August und dem 5. September 2018 wurden Kundendaten von BA-Kunden abgezogen. Im Oktober kam dann ein 'Update' zur Horrormeldung. Eine Untersuchung hat ergeben, dass die Hacker möglicherweise zusätzliche personenbezogene Daten gestohlen haben. Jedenfalls wurden die Inhaber von 77.000 Kreditkarten, die noch nicht benachrichtigt wurden, über einen möglichen Abfluss ihrer Daten (Name, Rechnungsadresse, E-Mail-Adresse, Kartenzahlungsinformationen, einschließlich Kartennummer, Ablaufdatum und CVV) informiert. Vermutet wurde, dass möglicherweise 108.000 Kunden, die ohne Kreditkarte bei BA gebucht haben, ebenfalls gefährdet sind. Potenziell betroffen sind Kunden, die zwischen dem 21. April und dem 28. Juli 2018 Prämienbuchungen (Reward-Bookings) tätigen und eine Kreditkarte verwendeten.
Das dicke Ende folgt jetzt
Der Vorfall fand nach dem Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO, Englisch GDPR) zum 28. Mai 2018 statt. Die Aufsichtsbehörden mussten daher nach den GDPR-Regularien über eine Geldbuße entscheiden. Während Facebook beim Cambridge Analytica-Skandal mit einer Geldbuße von maximal 500.000 Pfund davon gekommen sein dürfte (siehe 'Höchststrafe' für Facebook in England im Analytica-Skandal), sieht es für British Airways schlechter aus.
Blog-Leser Leon hatte mich heute morgen bereits per Mail auf diese Mitteilung des ICO (Information Communication Office) hingewiesen. Die unabhängige britische Behörde wurde eingerichtet, um die Informationsrechte im öffentlichen Interesse zu wahren, die Offenheit der öffentlichen Stellen zu fördern und den Datenschutz für Einzelpersonen zu gewährleisten. Das entspricht in der Position wohl unseren hiesigen Datenschutzbehörden. Die Meldung der ICO enthält im wesentlichen folgende Aussagen.
- Nach einer umfassenden Untersuchung hat das ICO mitgeteilt, dass es beabsichtigt, British Airways wegen Verstößen gegen die Allgemeine Datenschutzverordnung (GDPR) mit einer Geldbuße von 183,39 Mio. £ zu belegen.
- Die vorgeschlagene Geldbuße bezieht sich auf den oben erwähnten Cyber-Vorfall, der dem ICO im September 2018 von British Airways gemeldet wurde. Bei diesem Vorfall wurden Benutzereingaben und -Daten zu Flugbuchungen auf der British Airways-Website auf eine betrügerische Seite umgeleitet und von Hackern entwendet. Bei diesem Vorfall, der vermutlich im Juni 2018 begonnen hat, wurden personenbezogene Daten von etwa 500.000 Kunden gefährdet.
- Die Untersuchung des ICO hat ergeben, dass eine Vielzahl von Informationen durch schlechte Sicherheitsvorkehrungen im Unternehmen beeinträchtigt wurden. Das schließt die Anmeldung (Login), Zahlungsdaten und Reisebuchungsdaten sowie Namens- und Adressinformationen ein.
British Airways hat mit der ICO bei der Untersuchung kooperiert und seine Sicherheitsvorkehrungen seit Bekanntwerden dieser Ereignisse verbessert. Das Unternehmen wird nun Gelegenheit haben, gegenüber dem ICO zu den vorgeschlagenen Feststellungen und Sanktionen Stellung zu nehmen.
Anzeige
Die ICO hat diesen Fall als leitende Aufsichtsbehörde im Auftrag der Datenschutzbehörden anderer EU-Mitgliedstaaten untersucht. Sie hat auch mit anderen Regulierungsbehörden zusammengearbeitet. Im Rahmen der GDPR-Bestimmungen haben die Datenschutzbehörden in der EU, deren Einwohner betroffen sind, auch die Möglichkeit, zu den Ergebnissen der ICO Stellung zu nehmen.
Das ICO wird die Erklärungen des Unternehmens und der anderen betroffenen Datenschutzbehörden sorgfältig prüfen, bevor es seine endgültige Entscheidung trifft. Das ist ein ganz normaler Vorgang – aber es müsste mit dem Teufel zugehen, wenn die Strafe nicht saftig ausfällt.
Anzeige
British Airways hat bereits angekündigt, Widerspruch gegen die Strafzahlung einlegen zu wollen.
https://www.heise.de/newsticker/meldung/Datenschutzpanne-British-Airways-soll-etwa-204-Millionen-Euro-Strafe-zahlen-4465412.html
Hier in Deutschland hätte es für eine deutsche Fluggesellschaft eine "Geldbuße" von 2999 Euros und 99 Cent gegeben, natürlich steuerlich absetzbar.
Hier in Deutschland hätte man diskutiert ob man die Fluggesellschaft haftbar machen solle oder nichts (Arbeitsplätze!!!) und am Ende wäre das Verfahren verjährt.