Let's Talk Data Security

Hohe Bußgelder wegen Datenschutz Verstößen in Großbritannien

Geschrieben von Paul Hammersley | Jul 29, 2019 11:28:13 AM

Die EU-Datenschutzgrundverordnung hat nicht nur unter Datenschutzbeauftragten, sondern auch bei der breiten Masse für Aufmerksamkeit gesorgt. Menschen ohne Interesse an IT, geschweige denn an Datensicherheit, haben die Einführung und die Entwicklung des Gesetzes verfolgt. Doch die von den Medien erwartet Klagewelle blieb aus und es wurden nur relativ geringe Geldstrafen verhängt – bis jetzt.

Die britische Datenschutzbehörde (Information Commissioner's Office – ICO) hat hohe Geldstrafen gegen die Fluggesellschaft British Airways (BA) sowie die Hotelkette Marriott verhängt, wegen Verstoßes gegen die EU-Datenschutz-Grundverordnung.

 

204 Millionen Euro Strafe für British Airways

Das ICO hat bei der Fluggesellschaft British Airways einen Verstoß gegen die Datenschutzgrundverordnung festgestellt und eine Geldstrafe von 183,39 Millionen Pfund (ca. 204 Millionen Euro) verhängt. Im Jahr 2018 wurden bei einem Angriff von Cyberkriminellen persönliche Daten und auch Kreditkarteninformationen von ca. 500.000 Kunden gestohlen.

Der ICO macht die schwachen Sicherheitsmaßnahmen von BA für diesen Angriff verantwortlich.  Informationskommissarin Elizabeth Denham sagte dazu: "Die persönlichen Daten der Menschen sind genau das - persönlich. Wenn ein Unternehmen es nicht schafft, diese vor Verlust, Beschädigung oder Diebstahl zu schützen, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar - wenn Sie mit personenbezogenen Daten betraut werden, müssen Sie sich darum kümmern. Diejenigen, die es nicht tun, werden von uns kontrolliert, um zu überprüfen, ob sie geeignete Maßnahmen zum Schutz der grundlegenden Datenschutzrechte ergriffen haben."

Doch British Airways will die Strafe nicht einfach hinnehmen und hat bereits angekündigt, Widerspruch gegen die Entscheidung einzulegen.

 

Weiterer Verstoß gegen die DSGVO: 110 Millionen Euro Strafe für die Hotelkette Marriott

Neben der Airline wurde auch die Hotelkette Marriott vom ICO überprüft. Auch hier liegt ein Verstoß gegen die DSGVO vor, welcher mit einer Geldstrafe von 110 Millionen Euro belangt werden soll.

Die Ursache ist ein Hackerangriff, bei dem Daten von 339 Millionen Kunden gestohlen wurden. Die Angreifer konnten auf die Reservierungsdatenbank der Tochterfirma Starwood zugreifen und so an persönliche Daten wie Adressen, Pass- und Kreditkartennummern gelangen. Obwohl Starwood bereits 2016 von Marriott aufgekauft wurde, wurde die Sicherheitslücke erst Ende 2018 bemerkt. Der ICO bemängelt, dass die Hotelkette bei der Übernahme die Sicherheit nicht ausreichend geprüft hat. Auch Marriott hat angekündigt die Strafe anzufechten.

Eine Überraschung? Nicht wirklich

Über die Verurteilung dieser Blue-Chip-Unternehmen ist man in der Branche nicht sonderlich überrascht. Der Grund dafür, wieso es nicht bereits früher passiert ist, ist die Notwendigkeit einer umfangreichen Untersuchung der Verstöße, die im Voraus der Anklage erfolgen muss. Der ICO arbeitet noch immer an vielen Fällen, die sogar vor dem 25. Mai 2018 aufgetreten sind.

Die verteilten Strafen entsprechen noch längst nicht dem höchsten Strafmaß - basierend auf den globalen Einnahmen von BA, hätte das Bußgeld auch 500 Millionen Pfund betragen können. Diese Urteile gelten vor allem als Warnung für andere Unternehmen. Zwar handelte es sich um einen massiven Verstoß im Umgang mit personenbezogenen Daten, weshalb eine hohe Geldstrafe durchaus berechtigt ist, aber sie hätte viel höher sein können. Das ICO betonte, dass BA an der Untersuchung mitgewirkt und bereits Maßnahmen zur Verbesserung der Sicherheit ergriffen habe.

 

Machen Sie nicht den gleichen Fehler

Um genau diesem Szenario zu entgehen, haben sich viele Unternehmen für die DSGVO/GDPR Compliance Suite für SAP entschieden: Bewahren Sie keine echten persönlichen Daten in Test- und Entwicklungssystemen auf, wo sie nicht benötigt werden. Durch die effektive Maskierungslösung erhalten Sie Daten, die genauso realistisch sind wie echte Daten aus dem Produktivsystem, nur ohne jegliches Risiko. Und auch in Produktionssystemen können Sie handeln: bewahren Sie Daten nicht länger als nötig auf, sondern entfernen Sie sensible Informationen oder Identifikatoren, ohne sie archivieren zu müssen.

           

Quellen:
https://www.heise.de/newsticker/meldung/DSGVO-Strafe-110-Millionen-Euro-Bussgeld-fuer-Hotelkette-Marriott-angesetzt-4466555.html
https://www.heise.de/newsticker/meldung/Datenschutzpanne-British-Airways-soll-etwa-204-Millionen-Euro-Strafe-zahlen-4465412.html