0800 0008652 WhatsApp info@lawbutler.com
11.07.2019 09:50 Uhr

DSGVO: British Airways muss Rekordsumme zahlen

Seit Mai 2018 soll die Datenschutzgrundverordnung (DSGVO) die personenbezogenen Daten von Verbrauchern in ganz Europa schützen. Für Unternehmen bedeuten die Einführung hingegen viel Bürokratie und hohe Bußgelder bei Verstößen. Doch selbst wenn bei der Verarbeitung und Speicherung der Daten alle Richtlinien beachtet wurden, kann es teuer werden. Das zeigt jetzt der Fall British Airways. Die Fluglinie muss ein Bußgeld in Höhe von 183 Millionen Pfund (rund 204 Millionen Euro) bezahlen. Was war passiert?

Sensible Daten nicht ausreichend geschützt

Im Sommer 2018 hatten sich Unbekannte Zugriff auf das IT-System von British Airways verschafft. Das schien nicht sonderlich schwer gewesen zu sein, denn laut Datenschutzbehörde gab es gravierende Sicherheitsmängel bei der Fluglinie. Die speichert nicht nur die Namen ihrer Passagiere, sondern auch Login- und Kreditkarteninformationen samt CVV-Sicherheitsnummer.

Solche heiklen Daten sollten nicht in falsche Hände geraten – doch genau das ist hier passiert. Deswegen wurde mit den mehr als 200 Millionen Euro auch ein besonders hohes Bußgeld verhängt. Nach den 50 Millionen Euro Strafe, zu denen Google Anfang 2019 von Frankreichs Datenschützern verurteilt wurde, ist das eine neue Rekordsumme seit Einführung der Datenschutzgrundverordnung.

Die Hacker kamen durch die Sicherheitslücke an Daten von rund 500.000 Kunden. Das war möglich, weil die Verbraucher unwissentlich auf eine andere Webseite umgeleitet wurden und dort ihre sensiblen Daten eingegeben haben. Das Leck sei zwar inzwischen behoben, doch das ändere nichts an der hohen Strafe, so die britische Datenschutzbeauftragte Elisabeth Denham. Schließlich handele es sich um persönliche Daten und wenn die von einem Unternehmen nicht geschützt werden können, ist das kein Bagatelldelikt. Die DSGVO schreibt ganz klar vor, dass sich um diese Daten auch ernsthaft gekümmert werden muss.

Auch Marriott muss mit Bußgeld rechnen

Die Behörde hat bereits angekündigt, dass einem weiteren Unternehmen ebenfalls eine Strafe drohe. Die Hotelgruppe Marriott soll fast 100 Millionen Pfund zahlen. Auch hier konnten Unbefugte über eine Sicherheitslücke Daten von über 300 Millionen Kunden erbeuten.

Noch haben beide Unternehmen nicht gezahlt und British Airways will gegen das angekündigte Bußgeld in Berufung gehen. Dabei hätte es für die Fluglinie noch viel schlimmer kommen können. Die 204 Millionen Euro entsprechen 1,4 Prozent des Jahresumsatzes von British Airways – vier Prozent sind das Höchstmaß für die Datenschutzbehörden.

Es wäre tatsächlich möglich, dass British Airways die Strafe erfolgreich anfechten kann, denn bei der DSGVO geht es eigentlich um den bewussten Missbrauch der Daten durch ein Unternehmen. Das war jedoch nicht der Fall. Die Klärung, ob Lücken in der IT-Sicherheit auch dazu zählen, wird sicherlich einige Zeit in Anspruch nehmen.

Milde Strafen in Deutschland

In Deutschland lag das höchste Bußgeld bisher bei 80.000 Euro. Im ersten Jahr der DSGVO wurden hierzulande 75 Strafen für insgesamt rund 450.000 Euro ausgesprochen, wie eine Umfrage unter den Datenschutzbeauftragten der Länder ergab. Diese vergleichsweise niedrigen Summen hängen wohl auch damit zusammen, dass die deutschen Behörden personell längst nicht so gut besetzt sind wie in Großbritannien, wo sehr aktiv gegen Verstöße im Datenschutz vorgegangen wird. Das zeigte auch der Skandal um Cambridge Analytica und Facebook aufgearbeitet. Dass hier nur 500.000 Pfund gezahlt werden mussten, war den alten Datenschutzgesetzen vor Einführung der DSGVO geschuldet.