Datenschutzpanne: British Airways muss 22 Millionen Euro zahlen – statt 204

British Airways muss die bislang höchste Strafe für ein Datenschutzvergehen in Großbritannien bezahlen, sie fällt wegen der Corona-Pandemie aber niedriger aus.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 15 Beiträge

(Bild: British Airways)

Von
  • Stefan Krempl

Die britische Datenschutzbehörde hat gegen British Airways (BA) ein Bußgeld in Höhe von 20 Millionen Britische Pfund wegen Verstößen gegen Gesetze zum Absichern der Privatsphäre von Kunden und Mitarbeitern verhängt. Dies entspricht umgerechnet rund 22 Millionen Euro. Das Information Commissioner's Office (ICO) wirft der Fluggesellschaft vor, "eine erhebliche Menge an persönlichen Daten ohne angemessene Sicherheitsmaßnahmen verarbeitet zu haben". In Folge sei es zu einer Cyberattacke gekommen, die das Unternehmen über zwei Monate lang nicht entdeckt habe.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Voriges Jahr hatte das ICO zunächst erklärt, die Strafe auf etwa 204 Millionen Euro festlegen zu wollen. Dies hätte 1,5 Prozent des Umsatzes der BA im vorangegangenen Geschäftsjahr weltweit entsprochen. Laut der Datenschutz-Grundverordnung (DSGVO), auf deren Basis die Aufsichtsbehörde das Verfahren einleitete, wäre eine Höchststrafe von bis zu vier Prozent der Geschäftssumme möglich gewesen. Dass die Buße nun deutlich geringer ausfällt, begründet das ICO mit aktuellen Umsatzeinbußen bei BA durch die Corona-Pandemie. Man habe zudem weitere Einwände des Konzerns gegen den ursprünglichen Berechnungsansatz berücksichtigt.

Bei dem Angriff 2018 hatten Cyberkriminelle potenziell Zugriff auf persönliche Daten von rund 429.612 Kunden und Belegschaftsmitgliedern. Dies schloss die Namen, Adressen und Kreditkarteninformationen inklusive der Sicherheitscodes des Card Validation Value (CVV) von 244.000 Kunden. Dazu kamen Nutzernamen und Passwörter von Mitarbeitern wie Administratoren sowie von Inhabern von Premium-Vielflieger-Karten.

Die ICO-Ermittler sind der Ansicht, das Unternehmen hätte die Sicherheitslücken früher entdecken und schließen müssen. Dazu hätten gängige Schutzmaßnahmen wie begrenzte Zugriffsrechte, Zwei-Faktoren-Authentifizierung und "gründliche Tests" der Infrastruktur ausgereicht. Einige der Vorkehrungen wären über Einstelloptionen des Microsoft-Betriebssystems verfügbar gewesen, das BA genutzt habe. Andererseits habe die Firma ihre IT-Sicherheit nach der Attacke erheblich verbessert.

Die britische Datenschutzbeauftragte Elizabeth Denham betonte, dass es sich um die höchste Strafe handle, die das ICO bislang verhängt habe. Die Fluggäste hätten BA ihre persönlichen Daten anvertraut, die Versäumnisse zu deren Schutz seien "inakzeptabel" und hätten viele Betroffene verunsichert.

Da die Panne im Juni 2018 erfolgte und damit zu einem Zeitpunkt vor dem Brexit, untersuchte das ICO den Fall nach eigenen Angaben im Namen des Europäischen Datenschutzausschusses (EDSA) als federführende Aufsichtsbehörde im Rahmen des DSGVO. Die Sanktionen seien über den gängigen Kooperationsprozess vom EDSA genehmigt worden. Das britische Datenschutzrecht orientiert sich nach wie vor an der DSGVO, auch wenn der britische Premierminister Boris Johnson dies ändern will.

Der schwedische Bekleidungshändler Hennes & Mauritz (H&M) hat derweil die in Deutschland auf Basis der DSGVO verhängte aktuelle Rekordstrafe in Höhe von knapp 35,3 Millionen Euro akzeptiert. Der Hamburgische Datenschutzbeauftragte Johannes Caspar hatte das Unternehmen zu der Buße verdonnert, nachdem massive Verstöße gegen die Privatsphäre von Mitarbeitern in einem Servicecenter in Nürnberg bekannt geworden waren. Eine H&M-Sprecherin sagte dem NDR, man verzichte auf eine Berufung, um einen Schlussstrich zu ziehen. Die zu zahlende Summe sehe der Konzern angesichts des lokalen Vorfalls aber als unverhältnismäßig an.

(tiw)