British Airways droht eine Geldstrafe von 230 Millionen US-Dollar. Es wäre ein Rekord unter Europas strengen Datenschutzgesetzen

British Airways droht eine Rekordstrafe von 230 Millionen US-Dollar, nachdem ein Website-Fehler die persönlichen Daten von rund 500.000 Kunden beeinträchtigt hatte.

Dies wäre die bislang größte Strafe im Rahmen einer strengen Datenschutzregelung, der Allgemeinen Datenschutzverordnung, die im vergangenen Jahr in der Europäischen Union in Kraft getreten ist.
Das UK Information Commissioner’s Office teilte mit, dass die schwache Sicherheit die Weiterleitung des Nutzerverkehrs von der British Airways-Website auf eine betrügerische Seite ab Juni 2018 ermöglichte. Die Aufsichtsbehörde gab an, dass das Unternehmen die Möglichkeit habe, die vorgeschlagene Geldbuße anzufechten.
Angreifer konnten Kundendaten wie Anmeldedaten, Zahlungskarten und Reisebuchungsdaten nach Angaben der Aufsichtsbehörde erheben. Die Fluggesellschaft gab den Vorfall im September 2018 bekannt.
Die Geldbuße in Höhe von 183,4 Mio. GBP (230 Mio. USD) entspricht ungefähr 1,5% des Jahresumsatzes von British Airways. Die Fluggesellschaft, die der IAG (ICAGY) gehört, sagte, dass sie die Strafe bekämpfen würde.
„Wir sind von dieser ersten Erkenntnis überrascht und enttäuscht“, sagte der CEO von British Airways, Alex Cruz, in einer Erklärung.
„British Airways reagierte schnell auf eine Straftat, um Kundendaten zu stehlen. Wir haben keine Hinweise auf betrügerische Aktivitäten auf Konten im Zusammenhang mit dem Diebstahl gefunden“, fügte er hinzu.
Die DSGVO verpflichtet Unternehmen, dafür zu sorgen, dass die Art und Weise, in der sie Daten erheben, verarbeiten und speichern, sicher ist. Jede Organisation, die Daten zu Personen innerhalb der Europäischen Union aufbewahrt oder verwendet, unterliegt den Vorschriften, unabhängig davon, wo sie ansässig ist. Unternehmen, die gegen das Gesetz verstoßen, können mit einer Geldstrafe von bis zu 4% ihres Jahresumsatzes belegt werden.
„Die persönlichen Daten der Menschen sind genau das – persönlich. Wenn eine Organisation sie nicht vor Verlust, Beschädigung oder Diebstahl schützt, ist dies mehr als eine Unannehmlichkeit“, sagte Informationskommissarin Elizabeth Denham in einer Erklärung. „Deshalb ist das Gesetz klar – wenn Sie mit persönlichen Daten betraut sind, müssen Sie sich darum kümmern.“
Gita Shivarattan, Datenschutzbeauftragte der Anwaltskanzlei Ashurst, sagte, die vorgeschlagene Geldbuße zeige, dass „die europäischen Datenschutzbehörden die Geldbußen für Datenschutzverletzungen deutlich erhöhen“.
„Es spiegelt die Ernsthaftigkeit der Aufsichtsbehörden wider, bei denen ein erheblicher Verstoß gegen die DSGVO-Verpflichtungen vorliegt“, fügte Shivarattan hinzu.
Das Büro des Informationskommissars hat sich zu einer zunehmend bedeutenden Regulierungsbehörde im digitalen Raum entwickelt. Im vergangenen Jahr wurden 500.000 GBP (626.000 USD) gegen Facebook wegen des Skandals von Cambridge Analytica verhängt, der Höchstgrenze, die vor dem Inkrafttreten der DSGVO zulässig war.