British Airways kassiert Millionenbusse wegen Datenpanne

British Airways wird ein Verstoss gegen die Datenschutz-Grundverordnung der EU womöglich teuer zu stehen kommen. Die britische Datenschutzbehörde ICO (Information Commissioners Office) hat der Fluggesellschaft eine Busse von 183,39 Millionen Pfund (227,92 Millionen Schweizer Franken) aufgebrummt, wie es in einer entsprechenden Mitteilung heisst. Dies entspricht anderthalb Prozent des Umsatzes, den BA im letzten Jahr weltweit erwirtschaftete.

Der Grund: Im Sommer 2018 hatte BA Daten von rund 500'000 Kundinnen und Kunden verloren. Cyberkriminellen gelang es, persönliche Daten und Kreditkarteninformationen inklusive Sicherheitscodes abzugreifen, indem Passagiere auf eine betrügerische Website umgeleitet wurden. Betroffen waren sämtliche Personen, die Buchungen zwischen dem 21. August und dem 5. September per Kreditkarte bezahlt hatten.

Der britischen Datenschutzbehörde zufolge gelang der Datenklau aufgrund «schwacher Sicherheitsvorkehrungen». Zum Vorfall wird Elizabeth Denham, die britische Datenschutzbeauftragte in der ICO-Mitteilung folgendermassen zitiert: «Die persönlichen Daten von Menschen sind genau das: persönlich. Wenn eine Organisation sie nicht vor Verlust, Beschädigung oder Diebstahl schützt, ist das mehr als eine Unannehmlichkeit».

Über den Entscheid der Behörde zeigte sich BA-Chef Alex Cruz «überrascht und enttäuscht». Man habe rasch auf den Vorfall reagiert, zudem seien keine Betrugsaktivitäten im Zusammenhang mit den gestohlenen Daten festgestellt worden. Willie Walsh, Chef des BA-Mutterkonzerns IAG, kündigte deshalb bereits an, Widerspruch gegen das Millionenbussgeld einzulegen.