Die britische Datenschutzaufsicht kündigt über 200 Millionen Euro Geldbuße für British Airways an

Am 08.07.2019 hat die britische Datenschutzaufsichtsbehörde ICO (Information Commissioner’s Office) die Absicht mitgeteilt, gegen British Airways eine Geldbuße von über 200 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zu verhängen. Darüber hatte British Airways bereits zuvor die Londoner Börse informiert.

^{Bildrechte: sdecoret - fotolia.com}

Das Bußgeldverfahren wurde nach einer Anzeige im September 2018 eingeleitet. Nutzer wurden von Website und App der British Airways auf eine betrügerische Website umgeleitet, die mutmaßlich seit Juni 2018 persönliche Daten von etwa 500.000 Kunden „einsammelte“. Dazu gehörten gemäß ICO auch Log-in Daten, Kreditkartendaten und Reisebuchungen sowie Name und Adressinformationen. British Airways kooperierte mit der ICO und hat nach deren Auffassung unzureichende Sicherheitsvorkehrungen verbessert.

Gleichwohl informierte das ICO, dass eine Anhörung von British Airways zur beabsichtigten Geldbuße von 183,39 Mio. GBP (über 200 Mio. EUR) erfolgt. Nach dem Prinzip des One-Stop-Shop der DSGVO sei das ICO für die Sanktion des Datenschutzverstoßes von British Airways alleine zuständig. Nach der Mitteilung an die Londoner Börse über die angekündigte Geldbuße, die etwa 1,5 % des weltweiten Jahresumsatzes von British Airways im Jahr vor dem Verstoß entspricht, sank der Aktienkurs.

Das ICO hat die Geldbuße noch nicht verhängt. British Airways hat zuvor Gelegenheit zur Stellungnahme. Deren Muttergesellschaft hat bereits Maßnahmen gegen die Geldbuße angekündigt.

Praxistipp:

Datenschutzaufsichten verschärfen die Sanktionen für Datenschutzverstöße. Die französische Aufsicht verhängte 50 Millionen Euro Bußgeld gegen Google. Nun kündigt die britische Aufsicht über 200 Millionen Euro Bußgeld gegen British Airways an, die keine Vorteile aus dem Verstoß hatte. Auch in Deutschland laufen viele Bußgeldverfahren.

Für alle, die es (noch) nicht glauben wollen: Auch aus finanziellen Gründen empfiehlt es sich, die Anforderungen der DSGVO vollständig und genau umzusetzen.