Werbung
Wie das Information Commissioners Office, kurz ICO, jetzt nach einer umfassenden Untersuchung mitgeteilt hat, beabsichtigt die Behörde, die Fluggesellschaft British Airways wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) mit einer Geldbuße von 183,39 Millionen Pfund zu belegen. Die vorgeschlagene Geldbuße bezieht sich auf eine Straftat von Cyberkriminellen, welche dem ICO von British Airways im September 2018 gemeldet wurde. Beim genannten Verbrechen gelang es den Kriminellen, den Nutzerverkehr der offiziellen British-Airways-Website auf eine betrügerische Seite umzuleiten. Dadurch war es den Betrügern möglich, diverse Kundendaten der Fluggesellschaft abzugreifen. Laut Aussagen des Information Commissioners Office wurden personenbezogene Daten von etwa 500.000 Kunden der Fluggesellschaft gefährdet.
Dass ein Unternehmen Opfer einer Straftat von Cyberkriminellen wird, stellt zwar noch keinen Verstoß gegen die DSGVO dar, allerdings ergaben die Untersuchung der ICO, dass eine Vielzahl von Informationen durch schlechte Sicherheitsvorkehrungen im Unternehmen gefährdet wurden. So sollen laut Information Commissioners Office Logins, Zahlungsarten und Reisebuchungsdaten sowie Namens- und Adressinformationen von British Airways nicht ausreichend geschützt worden sein, was einen Verstoß gegen die DSGVO darstellt.
Informationskommissarin Elizabeth Denham gab bekannt:
“People’s personal data is just that – personal. When an organisation fails to protect it from loss, damage or theft it is more than an inconvenience. That’s why the law is clear – when you are entrusted with personal data you must look after it. Those that don’t will face scrutiny from my office to check they have taken appropriate steps to protect fundamental privacy rights.”
British Airways hat mit dem ICO-Untersuchungsausschuss zusammengearbeitet und seine Sicherheitsvorkehrungen seit Bekanntwerden verbessert. Die Fluglinie wird nun die Gelegenheit haben, sich gegenüber dem ICO zu den Erkenntnissen und Sanktionen zu äußern.
Die ICO handelte im genannten Fall als leitende Aufsichtsbehörde der Datenschutzbehörden anderer EU-Mitgliedstaaten und arbeitete ebenfalls mit verschiedenen Regulierungsbehörden zusammen. Im Rahmen der DSGVO-Bestimmungen haben die Datenschutzbehörden in der EU, deren Einwohner ebenfalls betroffen sind, die Möglichkeit, sich zu den Ergebnissen der ICO zu äußern. Die ICO wird die Erklärungen des Unternehmens und der anderen betroffenen Datenschutzbehörden sorgfältig prüfen bevor es seine endgültige Entscheidung trifft.