Zugangsdaten, Adressen, Namen, Reiseinformationen und Kreditkartendaten mit CVV-Sicherheitsnummern – die Liste der Daten, die Unbekannte von Kund:innen der Fluglinie British Airways abgreifen konnten, hat es in sich. Entsprechend saftig fällt auch das Bußgeld aus, das die britische Datenschutzbehörde nun verhängen will: Gut 200 Millionen Euro Strafe soll die Airline zahlen – eine Rekordsumme.
Der Datenabgriff aus dem Sommer 2018 sei auf gravierende Sicherheitsmängel bei der Fluglinie zurückzuführen, teilt das Information Commissioner’s Office (ICO) Anfang der Woche in London mit. Der Behörde zufolge konnte Unbekannte durch eine Sicherheitslücke im Online-Buchungssystem der Airline ab Juni 2018 an die Daten von etwa 500.000 Kund:innen gelangen. Offenbar wurden hierfür Nutzer:innen der Website von British Airways auf eine gefälschte umgeleitet, wo diese dann ihre Daten eingaben.
Auch wenn die Fluglinie die Mängel inzwischen beseitigt habe, sei die Strafe gerechtfertigt, bekundet die britische Datenschutzbeauftrage, Elisabeth Denham:
Persönliche Daten von Menschen sind genau das – persönlich. Wenn eine Organisation sie nicht vor Verlust, Schaden oder Diebstahl schützen kann, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz eindeutig – wenn Sie mit personenbezogenen Daten betraut sind, müssen Sie sich darum auch kümmern.
Nicht das letzte Rekord-Bußgeld
Mit gut 183 Millionen Pfund oder umgerechnet 204 Millionen Euro beträgt die angekündigte Strafe etwa 1,4 Prozent des weltweiten Umsatzes von British Airways. Er lag im Vorjahr bei rund 13 Milliarden Pfund. Das wäre das mit Abstand höchste Bußgeld, das seit Wirksamwerden der Datenschutzgrundverordnung (DSGVO) im Mai 2018 verhängt wird.
Das bisher höchste DSGVO-Bußgeld liegt bei 50 Millionen Euro und wurde von der französischen Datenschutzbehörde gegen Google verhängt. Das höchste Bußgeld, das eine deutsche Datenschutzbehörde unter der DSGVO verhängt hat, beträgt 80.000 Euro. Unterdessen hat das Information Commissioner’s Office am heutigen Dienstag bereits die nächste große Strafe angekündigt: Knapp 100 Millionen Pfund soll die Hotelgruppe Marriot zahlen, weil Unbefugte in ihre IT-Systeme eindringen und die Daten von mehr als 300 Millionen Kund:innen abgreifen konnten.
Beide Strafen sind bislang allerdings nur angekündigt worden. Verantwortliche von British Airways haben bereits klargemacht, dass sie die Entscheidung anfechten werden. Dabei hat die Datenschutzbehörde nicht mal den vollen Bußgeldrahmen ausgeschöpft: Die DSGVO ermöglicht in besonders schwerwiegenden Fällen deutlich größere Bußgelder. Sie können bis zu 4 Prozent des weltweiten Jahresumsatzes betragen können.
Auch IT-Sicherheit gehört zum Datenschutz
Die Auseinandersetzung um diese Sanktion dürfte den Auftakt für einen langen politischen und gerichtlichen Aushandlungsprozess darstellen. Es geht dann darum, welche Sanktionen bei welchen Vergehen angemessen sind. Interessant ist, dass das jetzige Bußgeld gar nicht ein Datenschutzvergehen im engeren Sinne betrifft, also den bewussten Missbrauch durch einen Datenverarbeiter, sondern eigentlich eher im Bereich der IT-Sicherheit anzusiedeln ist, also im Schutz der Daten vor unbefugten Dritten. Dass das höchste Bußgeld nun in diesem Bereich verhängt wird, könnte auch daran liegen, dass die Vorgaben der DSGVO hier verhältnismäßig klar und unumstritten sind.
Das Vereinigte Königreich gehört seit der Verabschiedung der DSGVO im Bereich Datenschutz zu den aktivsten Mitgliedsstaaten der EU. Trotz Brexit hat das Vereinigte Königreich die Verordnung in weiten Teilen konsequent umgesetzt und das Information Commissioner’s Office personell massiv aufgestockt. In umfassenden Untersuchungen hat die Behörde bereits den Skandal um Cambridge Analytica und Facebook aufgearbeitet. Weil noch die alten Datenschutzgesetze galten, konnte gegen Facebook damals allerdings nur ein Bußgeld in Höhe von 500.000 Pfund verhängt werden.
Interessant ist, dass Unternehmen in Deutschland gegen Bußgelder im Nachgang zu einer (ordnungsgemäßen) Breach Notification geschützt sind: § 43 Abs. 4 BDSG (https://www.gesetze-im-internet.de/bdsg_2018/__43.html).
Danke, spannend. Wie wird das denn begründet? Weil sonst keiner mehr die Meldung vornehmen würde?
Das ist so nicht korrekt, die Informationen der Meldung dürfen nur nicht gegen Meldenden verwendet werden. Hintergrund ist das man sich in Deutschland nicht selbst belasten muss. Wird jemand, wie im Datenschutz üblich, dazu gezwungen etwas zu melden so darf das nicht gegen Ihn verwendet werden. Die Aufsichtsbehörde führt hierzu dann ihre eigenen Untersuchungen durch.