DSGVO: Rund 200 Millionen Euro Bußgeld für British Airways nach Datenpanne geplant
Die persönlichen (insbesondere auch Zahlungs-) Daten von rund 500.000 Passagieren sind im letzten Jahr bei British Airways in die Hände von kriminellen gelangt. Die - für ihr konsequentes Vorgehen schon bekannte - britische Datenschutzaufsichtsbehörde ICO will daraufhin nunmehr ein Bußgeld gem. Art. 83 DSGVO von rund 183,39 Millionen Britische Pfund, umgerechnet etwa 204 Millionen Euro gegen die Airline verhängen. Das entspricht einem 1,5% des Geschäftsjahresumsatzes. Das dürfte einen neuen Höhepunkt der Diskussion um Bußgelder unter Geltung der EU-Datenschutzgrundverordnung darstellen.
Alex Cruz, Chef der BA International Airlines Group (IAG) gibt sich ob der Höhe der Sanktion überrascht, verweist darauf, dass Daten angeblich nicht missbräuchlich verwerdet wurden. Man prüfe derzeit ein Vorgehen gegen das Bußgeld.
Pikant: Aus meinem Mandantenkreis ist mir ein Fall eines British Airways-Kunden bekannt geworden, der am 30. August 2018 und somit im fraglichen Zeitraum eine Buchung bei British Airways vornahm. Bei genau diesem Passagier kam es im Nachhinein zu mehreren äußerst auffälligen Zahlungsversuche, wie Benachrichtigungen in der Smartphone-App des Kreditkartenunternehmens belegen:
In der Zeit vor dem Datenleck bei British Airways kam es nicht zu solchen unberechtigten Belastungen. Es dürfte sich folglich nicht um einen Zufall handeln.
Praxistipp:
Zahlungsdaten sind hochsensibel, das auch nicht erst seit der EU-Datenschutzgrundverordnung. Unternehmen dürften bereits nach den (schon früher geltenden) Regelwerken zum Zahlungsverkehr PCI und PCI DSS ordentlichen Aufwand treiben, um Zahlungsdaten zu schützen. Regelmäßig nehmen aber externe Dienstleister wie zum Beispiel Paypal diese Aufgabe ab. Wer dennoch mit solchen Daten in Berührung kommt, sollte größere Vorsicht walten lassen.