Angesichts Corona und der schlechten wirtschaftlichen Lage kommt British Airways vergleichsweise glimpflich davon. Ursprünglich hatte die britische Datenaufsicht eine Strafe in zehnfacher Höhe in Aussicht gestellt. Der Grund: Ein zweimonatiges Datenleck, bei dem Informationen von 400.000 Kunden und Mitarbeitern abgegriffen worden waren. Dazu gehörten sogar Passwörter, Kreditkartennummern und die passenden Sicherungszahlen.
Fluggäste in Sorge
Es wäre für die BA nicht einmal besonders kostspielig gewesen, den Datenabfluss zu verhindern. Doch das Unternehmen verzichtete leichtfertig auf begrenzte Zugriffsrechte, Multi-Faktor-Authentifizierung und Trainings in Form von simulierten Cyber-Angriffen. So war es möglich, dass Hacker im Sommer 2018 zwei Monate lang Konten von rund 400.000 Kunden und Mitarbeitern einsehen konnten. Betroffen waren nicht nur Namen und Adressen, sondern auch über 244.000 Kreditkartennummern, in 77.000 Fällen sogar in Kombination mit dem dreistelligen Validierungs-Code. Im Personalbereich konnten die Angreifer außerdem Benutzernamen und Passwörter von Beschäftigten und Administratoren auslesen.
Zwei Monate Zugriff möglich
Als schwerwiegend stuft die Aufsichtsbehörde unter anderem die Tatsache ein, dass das Problem nicht von British Airways selbst entdeckt wurde. Das heißt: Wäre das Unternehmen nicht von Dritten darauf aufmerksam gemacht worden, hätten möglicherweise noch mehr und noch länger Daten abfließen können. Der ICO-Bericht verweist außerdem auf die große Zahl der Betroffenen und die besondere Sensibilität der Informationen. Die Behörde habe deshalb zum ersten Mal ein derart hohes Bußgeld verhängt: 20 Millionen britische Pfund, umgerechnet rund 22 Millionen Euro.
Ursprünglich 200 Millionen angedroht
Immerhin: Sobald die Verantwortlichen Bescheid wussten, hätten sie umgehend das zuständige Commissioner’s Office (kurz: ICO) informiert. Auch im Verlauf der Untersuchung habe man kooperiert und mittlerweile zahlreiche Verbesserungen durchgeführt. Aber nicht nur das fiel bei der Festsetzung des Bußgelds positiv ins Gewicht. Auch die derzeitige wirtschaftliche Lage der Fluglinie durch die Folgen der Corona-Pandemie berücksichtigte die Behörde. Insgesamt beträgt die Strafe nur rund ein Zehntel dessen, was das ICO noch vor einem Jahr als angemessen bezeichnet hatte.
Fazit
Noch immer ist unklar, wer sich am 22 Juni 2018 illegal Zutritt zu den British-Airways-Servern verschaffte und dort bis zum 5. September Daten abführte. Mittlerweile allerdings entsprechen die Systeme den Vorgaben der Datenschutz-Grundverordnung, so das ICO. Zurzeit allerdings kämpft die BA, wie andere Fluglinien auch, eher mit Reisebeschränkungen und Quarantänevorschriften.
Anzeige
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
