Seit dem 25. Mai 2018 gilt in der EU die DSGVO – Datenschutz-Grundverordnung. Das Gesetz schaffte dabei neue und strengere rechtliche Verpflichtungen für Unternehmen. Genau dieses Gesetz könnte British Airways nun teuer zu stehen kommen.
Denn im Sommer 2018 konnten Hacker auf unzählige persönliche Daten von rund 500’000 British Airways-Kunden zugreifen. Die Briten geben sich ob der hohen Strafe von gut 225 Millionen Franken überrascht und wollen Widerspruch einlegen.
Schwache Sicherheitsvorkehrungen bei British Airways
Gut eine halbe Million Kunden des britischen Flag Carriers waren im Sommer letzten Jahres von dem Hacker-Angriff betroffen, welche unter anderem auf sensible und persönliche Daten wie Namen, E-Mail-Adressen, Adressen, Kreditkartendaten und Bankverbindungen zugreifen konnten. Der Vorwurf lautet daher, dass die Sicherheitsmassnahmen von British Airways zu schwach gewesen seien. Deshalb teilte die britische Datenschutzbehörde ICO am 8. Juli mit, dass British Airways 183.39 Millionen Pfund – gut 227 Millionen Franken – an Strafe zahlen müsse.
Durch eine Lücke im Sicherheitssystem des Online-Buchungssystems der Airline gelangten die Hacker damals in das System der Airline. Kurz nach dem Angriff ging British Airways noch von etwa 380’000 betroffenen Kunden aus, doch die Zahl musste rasch nach oben korrigiert werden. “Die persönlichen Daten von Menschen sind genau das: persönlich. Wenn eine Organisation sie nicht vor Verlust, Beschädigung oder Diebstahl schützt, ist das mehr als eine Unannehmlichkeit”, begründete die ICO das Strafmass.
British Airways zeigt sich “überrascht und enttäuscht”
British Airways möchte gegen das Urteil in Berufung gehen, denn man habe schnell und angemessen reagiert, zudem seien durch die gestohlenen Daten bis dato keinerlei Betrugsaktivitäten festgestellt worden. Willie Walsh, Chef der British Airways-Muttergesellschaft IAG, kündigte deshalb den Widerspruch an und zeigte sich “überrascht und enttäuscht” ob des Urteils der ICO.
Allerdings wurde British Airways erst kurz vor Bekanntwerden des Datenlecks schon vorgeworfen, nicht genug zum Schutze der persönlichen Daten ihrer Kunden zu unternehmen und sensible Daten sogar an Dritte, sowie Werbeunternehmen weiterzugeben. Die Strafe ist die bisher höchste, mit der ein Unternehmen aufgrund des neuen Gesetztes belegt wurde. Allerdings beträgt die Höchststrafe dabei bis zu vier Prozent des Jahresumsatzes des betroffenen Unternehmens, während British Airways “nur” 1.5 Prozent ihres Umsatzes als Strafe zahlen muss.
Fazit zum Urteil gegen British Airways
Das Urteil von über 225 Millionen Franken Strafe für British Airways dürfte Signalwirkung haben, auch wenn die Briten dagegen natürlich Einspruch erheben wollen. Doch die Airline muss sich zumindest fragen, wie ein Angriff auf so sensible Daten scheinbar so “einfach” und in solch einem Ausmass geschehen konnte. Besonders wo es zuvor schon einiges an Kritik genau über diese Sicherheitsmängel und einen Verkauf der Daten gegeben hatte. Deshalb ist die Höhe der Strafe auch durchaus angemessen, denn Unternehmen wie British Airways müssen alles dafür tun, die persönlichen Daten ihrer Kunden absolut sicher zu verwahren.