Sicherheitsleck: Lufthansa Miles&More-System gewährt Zugriff auf Kundendaten

(2 Bewertungen, 4.00 von 5)

Vielflieger und Prämienjäger staunten nicht schlecht, als sie Anfang der Woche Zugriff auf fremde Accounts hatten. Das Vielfliegerprogramm Miles-and-More der Lufthansa hatte mit erheblichen IT-Problemen zu kämpfen und sorgte dafür, dass User nach dem Login immer wieder auf fremden Profilen landeten.

Anzeige

Massenhafter Zugriff auf fremde Profile

Der Login auf der Webseite gestaltete sich infolge der Probleme als regelrechtes Glücksspiel – und nur selten gelangten User ins eigene Profil. Besonders heikel und aus datenschutzrechtlichen Aspekten mehr als bedenklich ist dabei der Umstand, dass beim Login gleichzeitig auch der Zugriff auf sämtliche fremde Userdaten möglich war. So konnten User fremde Meilenstände einsehen, aber auch die dazugehörigen persönlichen Daten.

Login-Bereich wurde deaktiviert

Miles & More war zunächst nicht in der Lage, das Problem zu beheben – und sperrte daraufhin den Login-Bereich komplett. Ein Zugriff war damit nicht mehr möglich. Allerdings bestand in der Zeit davor auch die Möglichkeiten, fremde Meilen auszugeben. Diese Möglichkeit wurde nach offiziellen Angaben auch genutzt: Rund 60.000 Miles-and-More-Meilen wurden demnach an Klimaschutzprojekte gespendet.

Explizit nicht betroffen waren Systeme außerhalb der Miles-and-More-Webseite: Dazu zählt zum Beispiel die Webseite des Mutterkonzerns Lufthansa und die M&M-App für mobile Endgeräte.

Vorfall ist von Relevanz in Bezug auf die DSGVO

Da insbesondere auch personenbezogene Daten wie Adressen, Telefonnummern und Geburtsdaten einsehbar waren, ist die Panne auch DSGVO-relevant. Personenbezogene Daten sind nach Art. 4 Absatz (1) der Datenschutzgrundverordnung (kurz: DSGVO) alle Daten, die die Zuordnung zu einer bestimmten oder bestimmbaren Person ermöglichen. Eine Verletzung der datenschutzrechtlichen Vorschriften zieht nach Art. 33 DSGVO eine Meldepflicht nach sich: Demnach müssen Verstöße innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden.

Fazit

Miles & More gab bekannt, dass das Unternehmen bereits mit den zuständigen Datenschutzbehörden in Kontakt getreten ist. Es bleibt abzuwarten, wie die finale Bewertung des Vorfalls ausfällt – und wie dieser hätte vermieden werden können. Offen ist auch, ob es sich um einen reinen Programmierfehler handelt oder ob möglicherweise Hacker hinter der Panne stecken. Der DSGVO-Verstoß wird aller Voraussicht nach dennoch ein entsprechendes Bußgeld nach sich ziehen. Immerhin weist der Konzern einen Jahresumsatz von satten 35,6 Milliarden Euro auf – eine Strafe in Höhe von zwei Prozent würde hier ein Bußgeld von 750 Millionen Euro bedeuten.

Anzeige
Sagen Sie uns Ihre Meinung zum Thema.
Captcha Aktualisieren
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Datenschutz: Sendet Gesundheitsapp Ada Daten an Facebook? User können über die Gesundheitsapp Ada Symptome eingeben und sich so Tipps zur Behandlung holen. Die App hat im Google Play Store über 5 Millionen Downloads. D...
Weiterlesen...
Privatsphäre: Bodycams für Polizisten demnächst auch in Wohnungen? Mit Bodycams sind Polizisten bei Einsätzen in der Lage, Videoaufnahmen zu machen. In der Praxis hat sich das als wirksame Maßnahme zur Deeskalation und zum Schu...
Weiterlesen...
Daten-Leck bei Conrad Electronic: Hacker hatten Zugriff auf 14 Millionen Kundendaten Wer ein Konto bei dem deutschen Versandhändler Conrad Electronic besitzt, sollte in den kommenden Wochen besondere Vorsicht walten lassen. Hacker haben eine Sic...
Weiterlesen...
Nutzertracking: Datenschützer warnen vor Bußgeldern Erst kürzlich kündigte der Verbraucherzentrale Bundesverband (VZBZ) an, rechtlich gegen 8 Medienunternehmen vorzugehen. Der Vorwurf: Sie würden Trackingmethoden...
Weiterlesen...
Datenschutz: Polizei greift auf Corona-Kontaktlisten zu Die Corona-Schutzverordnung in Bayern gibt vor: Gaststätten müssen die Kontaktdaten ihrer Kunden erheben. Auf diese Weise will das Land sicherstellen, dass es I...
Anzeige DSGVO

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

Inhalte kostenlos übernehmen

Der eRecht24 Newsticker

kostenfreie aktuelle Inhalte zum Internetrecht

Individuell für Ihre Website angepasst!

 

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingDatenschutzRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support