DSGVO: ICO verhängt wegen der Verletzung von Kundendaten auf der Website der Airline Rekordstrafe.
Die britische Datenschutzaufsichtsbehörde Information Commissioner’s Office (ICO) hat in einer Presseerklärung angekündigt, die Rekordstrafe von umgerechnet rund EUR 204 Millionen (GBP 183 Millionen) gegen die Airline British Airways zu verhängen. Es handelt sich dabei ausgerechnet um die erste durch das ICO unter der DSGVO ausgesprochene Geldbuße.
Cyber Incident auf der Website von British Airways
Auf der Website von British Airways kam es von Juni bis September 2018 zu einer Umleitung von user traffic auf eine betrügerische Seite. Dort verschafften sich die Täter die Daten von ca. 500.000 Kunden der Airline, darunter auch Anschriften und Kreditkartendaten.
Ausgangspunkt für die Geldbuße ist eine Verletzung der Vorgaben der Datenschutz-Grundverordnung (DSGVO) zur Datensicherheit. So müssen nach der DSGVO Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen, um die Daten der Betroffenen zu schützen. Hierzu zählen Maßnahmen wie die Verschlüsselung und die Vertraulichkeit der personenbezogenen Daten. Die Ankündigung lässt erkennen, dass das ICO die Geldbuße auf mangelhafte Sicherheitsvorkehrungen („poor security arrangements″) bei British Airways stützt.
Höhe der Geldbußen bei Datenschutzverstößen steigt
Die Geldbuße entspricht der Höhe nach 1,5 % des gesamten weltweit erzielten Jahresumsatzes der Airline. Datenschutzaufsichtsbehörden können bei besonders schweren Verletzungen der DSGVO Geldbußen von bis zu EUR 20 Millionen oder von bis zu 4 % des Jahresumsatzes verhängen. Die Entscheidung bringt mit Abstand die unter Geltung der DSGVO EU-weit bislang höchste Geldbuße mit sich. Das bisher höchste Bußgeld in der Höhe von GBP 500.000 hatte das ICO gegen Facebook im Zusammenhang mit dem Cambridge Analytica Skandal ausgesprochen. Der enorme Unterschied in der Bußgeldhöhe erklärt sich durch die Einführung der schärferen Sanktionen unter der DSGVO.
Auf der Seite www.enforcementtracker.com können Sie sich zu weiteren bereits veröffentlichten Fällen informieren, in denen Datenschutzaufsichtsbehörden Geldbußen verhängt haben.
British Airways hatte das Datenleck dem ICO im September 2018 gemeldet und im Rahmen der Ermittlungen mit dem ICO kooperiert. Es ist zu erwarten, dass British Airways die Entscheidung des ICO gerichtlich anfechten wird.