DSGVO: British Airways droht eine Rekordstrafe von 183 Millionen Pfund

Die britische Datenschutzbehörde Information Commissioner’s Office (ICO) will British Airways (BA) wegen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) mit einer Strafe in Höhe von 183 Millionen Pfund (204 Millionen Euro) belegen.

Die Geldbuße bezieht sich auf einen Sicherheitsvorfall, der dem ICO von British Airways im September 2018 gemeldet wurde. British Airways hatte damals eingeräumt, dass bei einem Hackerangriff die Adress- und Kreditkartendaten von 380.000 Kunden kompromittiert wurden. Betroffen waren Kunden der Fluggesellschaft, die auf ihrer Website BA.com oder über ihre Mobil-App zwischen dem 21. August und dem 5. September eine Buchung vornahmen.

Die Untersuchung des ICO hat ergeben, dass eine Vielzahl von Informationen durch schlechte Sicherheitsvorkehrungen im Unternehmen beeinträchtigt wurden, einschließlich Login, Zahlungskarte und Reisebuchungsdaten sowie Namens- und Adressinformationen.

Die zuständige Informationskommissarin des ICO Elizabeth Denham sagt dazu: „Die persönlichen Daten der Menschen sind genau das – persönlich. Wenn ein Unternehmen es nicht schafft, diese vor Verlust, Beschädigung oder Diebstahl zu schützen, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar – wenn Sie mit personenbezogenen Daten betraut werden, müssen Sie sich darum kümmern. Diejenigen, die es nicht tun, werden von meinem Büro aus kontrolliert, um zu überprüfen, ob sie geeignete Maßnahmen zum Schutz der Grundrechte auf Privatsphäre ergriffen haben.“

British Airways hat mit der ICO-Untersuchung zusammengearbeitet und seine Sicherheitsvorkehrungen seit Bekanntwerden dieser Ereignisse verbessert. Das Unternehmen wird nun Gelegenheit haben, gegenüber dem ICO zu den vorgeschlagenen Feststellungen und Sanktionen Stellung zu nehmen.

Die ICO hat diesen Fall als leitende Aufsichtsbehörde im Auftrag der Datenschutzbehörden anderer EU-Mitgliedstaaten untersucht. Sie hat auch mit anderen Regulierungsbehörden zusammengearbeitet. Im Rahmen der GDPR-Bestimmungen haben die Datenschutzbehörden in der EU, deren Einwohner betroffen sind, auch die Möglichkeit, zu den Ergebnissen der ICO Stellung zu nehmen.

Alex Cruz, Chairman und Chief Executive von British Airways, sagte, das Unternehmen sei „überrascht und enttäuscht“ über die Ergebnisse des ICO und behauptet, das Unternehmen habe „keine Beweise für betrügerische Aktivitäten auf Konten im Zusammenhang mit dem Diebstahl gefunden“.

British Airways hat 28 Tage Zeit, um gegen die Entscheidung Berufung einzulegen und beabsichtigt laut der Muttergesellschaft IAG dies auch zu tun. „British Airways wird beim ICO im Zusammenhang mit der vorgeschlagenen Geldbuße vorstellig werden. Wir beabsichtigen, alle geeigneten Schritte zu unternehmen, um die Position der Fluggesellschaft energisch zu verteidigen, einschließlich aller notwendigen Einsprüche“, sagte der IAG-CEO Willie Walsh.

Laut einer Mitteilung der ICO will die Behörde „die Erklärungen des Unternehmens und der anderen betroffenen Datenschutzbehörden sorgfältig prüfen, bevor sie ihre endgültige Entscheidung trifft“. Somit könnte die Strafe niedriger ausfallen.

Bislang haben die Behörden wenige Strafen wegen Verletzung der Datenschutz-Grundverordnung, die seit Mai 2018 in Kraft getreten ist, ausgesprochen. In der Regel sind diese auch recht gering ausgefallen. Die bisherige Höchststrafe sprach die französischen Datenschutzbehörde CNIL gegenüber Google aus. Die CNIL fordert 50 Millionen Euro von Google. Sie stellte bei ihrer Untersuchung fest, dass das Unternehmen Nutzer, die auf Android-Geräten neue Google-Konten anlegen, nicht ausreichend über die „Zwecke der Datenverarbeitung, die Aufbewahrungsfristen oder die Kategorien von personenbezogenen Daten, die für die Personalisierung von Anzeigen verwendet werden“, informiert. Google soll diese Informationen unerlaubt auf mehrere Dokumente verteilen, die erst nach mehreren Klicks auf Links erreichbar sind.