Sicherheitsleck: Lufthansa Miles&More-System gewährt Zugriff auf Kundendaten

(3 Bewertungen, 3.00 von 5)

Vielflieger und Prämienjäger staunten nicht schlecht, als sie Anfang der Woche Zugriff auf fremde Accounts hatten. Das Vielfliegerprogramm Miles-and-More der Lufthansa hatte mit erheblichen IT-Problemen zu kämpfen und sorgte dafür, dass User nach dem Login immer wieder auf fremden Profilen landeten.

Anzeige

Massenhafter Zugriff auf fremde Profile

Der Login auf der Webseite gestaltete sich infolge der Probleme als regelrechtes Glücksspiel – und nur selten gelangten User ins eigene Profil. Besonders heikel und aus datenschutzrechtlichen Aspekten mehr als bedenklich ist dabei der Umstand, dass beim Login gleichzeitig auch der Zugriff auf sämtliche fremde Userdaten möglich war. So konnten User fremde Meilenstände einsehen, aber auch die dazugehörigen persönlichen Daten.

Login-Bereich wurde deaktiviert

Miles & More war zunächst nicht in der Lage, das Problem zu beheben – und sperrte daraufhin den Login-Bereich komplett. Ein Zugriff war damit nicht mehr möglich. Allerdings bestand in der Zeit davor auch die Möglichkeiten, fremde Meilen auszugeben. Diese Möglichkeit wurde nach offiziellen Angaben auch genutzt: Rund 60.000 Miles-and-More-Meilen wurden demnach an Klimaschutzprojekte gespendet.

Explizit nicht betroffen waren Systeme außerhalb der Miles-and-More-Webseite: Dazu zählt zum Beispiel die Webseite des Mutterkonzerns Lufthansa und die M&M-App für mobile Endgeräte.

Vorfall ist von Relevanz in Bezug auf die DSGVO

Da insbesondere auch personenbezogene Daten wie Adressen, Telefonnummern und Geburtsdaten einsehbar waren, ist die Panne auch DSGVO-relevant. Personenbezogene Daten sind nach Art. 4 Absatz (1) der Datenschutzgrundverordnung (kurz: DSGVO) alle Daten, die die Zuordnung zu einer bestimmten oder bestimmbaren Person ermöglichen. Eine Verletzung der datenschutzrechtlichen Vorschriften zieht nach Art. 33 DSGVO eine Meldepflicht nach sich: Demnach müssen Verstöße innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden.

Fazit

Miles & More gab bekannt, dass das Unternehmen bereits mit den zuständigen Datenschutzbehörden in Kontakt getreten ist. Es bleibt abzuwarten, wie die finale Bewertung des Vorfalls ausfällt – und wie dieser hätte vermieden werden können. Offen ist auch, ob es sich um einen reinen Programmierfehler handelt oder ob möglicherweise Hacker hinter der Panne stecken. Der DSGVO-Verstoß wird aller Voraussicht nach dennoch ein entsprechendes Bußgeld nach sich ziehen. Immerhin weist der Konzern einen Jahresumsatz von satten 35,6 Milliarden Euro auf – eine Strafe in Höhe von zwei Prozent würde hier ein Bußgeld von 750 Millionen Euro bedeuten.

Anzeige
Sagen Sie uns Ihre Meinung zum Thema.
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
DSGVO: Lagerung von Patientenakten ist keine Datenverarbeitung Tausende Unterlagen im Keller eines ehemaligen Krankenhauses sind kein Fall den Datenschutz-Beauftragten. So hat jetzt das Hamburgische Oberverwaltungsgericht e...
Weiterlesen...
Corona-Kontaktlisten: Datenschutzbehörde leitet erste Bußgeldverfahren ein Gäste, die in Hamburg Restaurants oder Cafés besuchen, müssen ihre Kontaktdaten angeben. Die Landesregierung will so die Infektionsketten besser nachverfolgen k...
Weiterlesen...
Zoom: Videokonferenzdienst schickt heimlich Daten an Facebook Home-Office und Kontaktverbot führen dazu, dass deutlich mehr User den Videokonferenzdienst Zoom nutzen. In Apples App Store ist das Programm aktuell die dritth...
Weiterlesen...
Cyber-Angriff: Hacker infizieren weltweit Microsoft Exchange-Server Allein in Deutschland sind nach Angaben des Bundesamts für Sicherheit in der Informationstechnik wahrscheinlich zehntausende Systeme betroffen. Über vier Schwac...
Weiterlesen...
Niedersächsisches Kulturministerium: Sensible Daten offen im Netz Das niedersächsische Ministerium für Wissenschaft und Kultur (MWK) betreibt ein Portal, auf dem Künstler, Vereine und Museen Fördergelder und Stipendien beantra...
Anzeige DSGVO

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support