DSGVO: Datenklau kommt British Airways teuer zu stehen

Im vergangenen Herbst wurden hunderttausende von Kunden von British Airways (BA) Opfer eines Cyberattacke. Es gelang den Angreifern User, die sich bei BA einloggen wollten, auf eine eigene, gefälschte Website umzuleiten. So konnten sie zwischen Juni und September persönliche Daten von rund 500'000 Kunden abgreifen, darunter Login-Daten, Kreditkarteninformationen, Namen, Adressen und Reisearrangements.
 
Das britische Information Commissioners Office (ICO) hat die Affäre untersucht und sieht nun mindestens eine Mitschuld bei BA. Schlechte Security-Vorkehrungen hätten mit dazu beigetragen, dass die Daten gestohlen werden konnten. Die Datenschutzbehörde hat heute angekündigt, deswegen von BA auf der Basis der Datenschutzgrundverordnung der EU (DSGVO) eine Busse von 183,4 Millionen Pfund zu verlangen. Dies entspricht rund 225 Millionen Franken.
 
BA könnte damit das erste Unternehmen sein, das aufgrund der Bestimmungen der DSGVO, die seit dem letzten Mai in Kraft ist, eine sehr grosse Busse bezahlen muss.
 
Das ICO hält in seinem Statement fest, BA habe während der Untersuchung voll kooperiert und seine Security-Massnahmen bereits verbessert. Möglicherweise hat die Datenschutzbehörde dies bei der Festlegung der Höhe der vorgesehenen Busse bereits berücksichtigt. 183,4 Millionen Pfund entsprechen rund 1,5 Prozent des Umsatzes von BA im Jahr 2017. Je nach der Schwere eines Vergehens erlaubt die DSGVO Strafen von bis zu 4 Prozent des Jahresumsatzes eines Unternehmens.
 
Die Höhe der verlangten Strafe könnte sich noch ändern. Einerseits kann sich BA selbst nun dazu äussern. Und ausserdem erwartet das ICO nun auch Feedback von Datenschutzbehörden in anderen EU-Ländern, in denen Bürger von diesem Datenleck waren. (hjm)