Die britische Datenschutzbehörde ICO teilte vor wenigen Tagen mit, dass die britische Fluggesellschaft British Airways wegen gestohlener Kundendaten zu einer Strafzahlung von mehr als 200 Millionen Euro verurteilt wurde.
Die Höhe der Strafe entspricht etwa 1,5 Prozent des Umsatzes der BA im letzten Geschäftsjahr weltweit. Die Airline will möglicherweise Widerspruch einlegen.
Nach Ansicht des ICO hätten schwache Sicherheitsvorkehrungen bei der Airline den Datendiebstahl erst ermöglicht. Bei dem Datendiebstahl, den British Airways als "sehr raffinierten, böswilligen, kriminellen" Hackerangriff bezeichnete, waren nach Angaben der ICO zwischen Juni und September 2018 die Daten von knapp 500.000 Kunden gestohlen worden. Es handelte sich um Namen, Anschriften, E-Mail-Adressen und Bankdaten.
Das ist die erste Geldbuße nach Einführung der EU-Datenschutz-Grundverordnung (DSGVO) in Großbritannien - und gleich die höchste jemals von britischen Datenschützern verhängte.
Das bisher höchste DSGVO-Bußgeld liegt bei 50 Millionen Euro und wurde von der französischen Datenschutzbehörde gegen Google verhängt. Das höchste Bußgeld, das deutsche Datenschutzbehörden unter der DSGVO bereits dreimal verhängt haben, beträgt jeweils 80.000 Euro.
Dabei haben die Behörden nicht mal den vollen Bußgeldrahmen ausgeschöpft: Die DSGVO ermöglicht in besonders schwerwiegenden Fällen deutlich größere Bußgelder, die bis zu 4 Prozent des weltweiten Jahresumsatzes betragen können.
