British Airways hatte das ICO im September über einen Datenschutzvorfall informiert. Am 8. Juli 2019 kündigte das ICO eine Geldstrafe in Millionenhöhe an.

Nach einer umfassenden Untersuchung hat das ICO seine Absicht mitgeteilt, gegen British Airways eine Geldbuße in Höhe von 183,39 Mio. GBP wegen Verstößen gegen die Datenschutzverordnung (DSGVO) zu verhängen.

Die vorgeschlagene Geldbuße bezieht sich auf einen Cyber-Vorfall, der im September 2018 von British Airways beim ICO gemeldet wurde.

Dieser Vorfall betraf zum Teil die Weiterleitung der Nutzer von der Website von British Airways zu einer betrügerischen Website. Durch diese falsche Site wurden Kundendaten von den Angreifern gesammelt.

Bei diesem Vorfall, von dem angenommen wird, dass er im Juni 2018 begonnen hat, wurden personenbezogene Daten von ungefähr 500.000 Kunden abgefangen.

Die Untersuchung des ICO ergab, dass eine Reihe von Informationen durch unzureichende Sicherheitsvorkehrungen im Unternehmen gefährdet wurden, darunter Login-, Zahlungskarten- und Reisebuchungsdaten sowie Name und Adresse.

Information Commissioner Elizabeth Denham sagte:

           "Die personenbezogenen Daten der Menschen sind genau das - persönlich.

Wenn eine Organisation es versäumt, sie vor Verlust, Beschädigung oder Diebstahl zu schützen, ist dies mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar - wenn Sie mit personenbezogenen Daten betraut sind, müssen Sie sich darum kümmern.

Diejenigen, die dies nicht tun, werden von meinem Büro überprüft, ob sie geeignete Schritte zum Schutz der Grundrechte unternommen haben. "

British Airways hat an der ICO-Untersuchung mitgearbeitet und die Sicherheitsvorkehrungen verbessert, seit diese Ereignisse bekannt wurden.

Das Unternehmen wird nun Gelegenheit haben, sich gegenüber dem ICO zu den vorgeschlagenen Feststellungen und Sanktionen zu äußern.

ICO hat diesen Fall als federführende Aufsichtsbehörde im Auftrag anderer Datenschutzbehörden der EU-Mitgliedstaaten untersucht. Es hat auch mit anderen Aufsichtsbehörden zusammengearbeitet.

Nach den Bestimmungen der DSGVO über eine zentrale Anlaufstelle haben die Datenschutzbehörden in der EU, deren Einwohner betroffen sind, auch die Möglichkeit, sich zu den Ergebnissen des ICO zu äußern.

Das ICO wird die Erklärungen des Unternehmens und der anderen betroffenen Datenschutzbehörden sorgfältig prüfen, bevor es seine endgültige Entscheidung trifft.

Die Folgen für British Airways – Schadenersatz für Betroffene

Britisch Airways droht nicht nur eine Geldstrafe. Es wird auch schon Werbung für Schadenersatzklagen gegen das Unternehmen gemacht.

Betroffene wurden im September 2018 von British Airways verständigt, und werden nun auf der Website einer Anwaltskanzlei aufgefordert sich zu melden, und Schadenersatz geltend zu machen.  

Die Anwaltskanzlei geht davon aus, dass bis zu £ 5,000 an Schadenersatz zustehen. Sie ist auf der Basis (no-win / no-fee) tätig, dh die Betroffenen haben kein Kostenrisiko, da sie nur dann die anwaltliche Tätigkeit bezahlen, wenn tatsächlich Schadenersatz geleistet wird.

Die Information des ICO (in englischer Sprache) ist auf der Website verfügbar.

23.07.2019, Autor:

Michael Schweiger, zert DSBA