British Airways-Hack: Warum die Rekordstrafe von 183 Millionen Pfund hätte viel höher sein können
Datenschutzverletzung bei Fluggesellschaften war der erste größere Fall nach den neuen DSGVO-Regeln
Pascal Pavani/AFP/Getty Images
British Airways wurde letztes Jahr wegen einer schwerwiegenden Sicherheitsverletzung mit einer Geldstrafe von 183 Millionen Pfund belegt – die höchste jemals vom britischen Information Commissioner's Office (ICO) verhängte Strafe.
Die Fluggesellschaft ist von der Entscheidung überrascht und enttäuscht und plant, Berufung einzulegen.
Experten weisen jedoch darauf hin, dass die Regulierungsbehörde BA nach der europaweiten Datenschutz-Grundverordnung (DSGVO) mit einer Geldstrafe in Höhe von insgesamt mehr als dem Doppelten hätte verhängen können. Was sind die neuen Regeln und warum war dieser Fall so bedeutsam?
Was ist beim BA-Hack passiert?
Am 6. September gab die Fluggesellschaft bekannt, dass bei einer Datenschutzverletzung die Personal- und Zahlungsdaten von Zehntausenden Kunden gestohlen wurden.
Details zu Zahlungskarten, einschließlich Nummer, Ablaufdatum und dreistelliger Sicherheitscode oder „Card Verification Value“ (CVV), wurden illegal aus dem Reservierungssystem extrahiert, Berichte Der Unabhängige .
BA sagte, Hacker hätten einen ausgeklügelten, böswilligen kriminellen Angriff durchgeführt, bei dem 382.000 Transaktionen zwischen dem 21. Polizei und zuständige Behörden seien informiert worden, fügte das Unternehmen hinzu.
BA-Chefs entschuldigten sich bei den Betroffenen und sagten, der Verstoß sei behoben worden und die gestohlenen Daten enthielten keine Reise- oder Passdaten. Das Unternehmen habe mit der Kontaktaufnahme mit Kunden begonnen, als der Verstoß entdeckt worden sei, fügte die Fluggesellschaft hinzu.
Das ICO teilte diese Woche mit, dass Benutzer der Website auf eine betrügerische Website umgeleitet wurden, auf der Details von rund 500.000 Personen gesammelt wurden.
Nach der Bekanntgabe der Geldbuße sagte BA-Vorsitzender Alex Cruz am Montag: British Airways reagierte schnell auf eine kriminelle Handlung, um Kundendaten zu stehlen. Wir haben keine Hinweise auf Betrug/betrügerische Aktivitäten auf Konten gefunden, die mit dem Diebstahl in Verbindung stehen.
Wo kommt die DSGVO ins Spiel?
Das BA-Bußgeld ist das erste, das nach den neuen Regeln, die im Mai 2018 in der größten Datenschutz-Umstellung seit 20 Jahren in Kraft traten, öffentlich gemacht wurde, sagt der BBC .
Bisher lag die höchste Strafe bei 500.000 Pfund Sterling, die Facebook für seine Rolle im Datenskandal um Cambridge Analytica verhängt wurde. Das sei nach den alten Datenschutzbestimmungen, die vor der DSGVO galten, das Maximum gewesen, sagt der Sender.
Die neuen Regeln sehen eine Höchststrafe von 4% des Umsatzes der schuldigen Partei vor – was für BA 488 Millionen Pfund betragen hätte. Stattdessen beläuft sich die verhängte Strafe auf 1,5 % des Umsatzes der Fluggesellschaft im Jahr 2017 und liegt deutlich unter dem Höchstbetrag von 488 Mio. GBP.
Der Fall hat als erster seiner Art großes Interesse auf sich gezogen, wie die Cybersicherheitsjournalistin Kate O’Flaherty in einem Artikel für . feststellte Forbes letzten September.
Ian Thornton-Trump, ein Veteran der Cybersicherheitsbranche, sagte O’Flaherty, dass es eine schwierige Entscheidung für das ICO sein würde. Jeder möchte, dass die DSGVO Zähne hat, also muss das ICO hier das richtige Gleichgewicht finden, erklärte er.
Der BA-Verstoß war nicht so schlimm wie bei einigen anderen Hacks der letzten Zeit, wie z Equifax im Jahr 2017 , und die Höchststrafe könnte BA bis zur Insolvenz bringen, fügte Thornton-Trump hinzu.
Er sagte eine Geldstrafe in Höhe von 5 bis 10 Millionen Pfund voraus und fügte hinzu: Das ist erheblich, aber es gefährdet das Unternehmen nicht und ist nicht „zu politisch“.
Aus Protest gegen die diese Woche angekündigte Geldstrafe von 183 Millionen Pfund sagte Willie Walsh, Vorstandsvorsitzender der International Consolidated Airlines Group (IAG), der Muttergesellschaft von BA: .
