DSGVO-Verstoß: British Airways droht Rekordstrafe

DSGVO-Verstoß: British Airways droht Rekordstrafe

Der britischen Fluggesellschaft British Airways droht nun eine Rekordstrafe in Höhe von 204 Millionen Euro wegen einer Datenschutzpanne in 2018.

Es wäre die bisher höchste Strafe gegen ein Unternehmen im Rahmen der neuen DSGVO, die je erhoben wurde. Die britische Datenschutzbehörde (Information Commissioner's Office – ICO) fordert von der Fluggesellschaft ein Bußgeld von umgerechnet 204 Millionen Euro. Das wären in etwa 1,5% des Umsatzes des Unternehmens. Empfindlich, weshalb die Airline derzeit prüfe, ob Widerspruch eingelegt werde. Was war passiert? Bei einem Hackerangriff hatten Kriminelle die Daten und Kreditkarteninformationen von rund 500.000 Kunden, die zwischen dem 21.08.2018 und dem 05.09.2018 auf der Homepage der Airline über Kreditkarte einen Flug buchten, abgegriffen. 

British Airways hätte besser schützen müssen

So lautet der Vorwurf der ICO. Ihrer Ansicht nach hätten schwache Sicherheitsvorkehrungen den Diebstahl der Kundendaten erst ermöglicht. Alex Cruz, Chef der BA International Airlines Group (IAG) sei indes von der Entscheidung überrascht und gleichermaßen enttäuscht. Ihm sei nicht bekannt, dass die gestohlenen Daten in irgendeiner Weise missbräuchlich benutzt worden seien. Die Aktie der Airline fiel nach Bekanntgabe der Strafe direkt um einen Prozentpunkt. (vgl. Oliver Bünte auf heise.de vom 08.07.2019) Ob British Airline die Strafe zu zahlen hat, wird sich in den nächsten Wochen zeigen. 

CRM-Systeme und die DSVGO

Seit Einführung der neuen EU-Datenschutzrichtlinien kommt kein Unternehmen mehr an dem Thema vorbei. CRM-Systeme helfen Unternehmen zwar dabei Datenschutzkonform mit den Kundendaten zu arbeiten, entlasten diese jedoch nicht in Gänze. Werden Kundendaten verarbeitet, so empfiehlt es sich immer einen Auftragsverarbeitungs-Vertrag mit den Kunden abzuschließen. Auch muss ein internes Verarbeitungsverzeichnis angelegt werden, in dem alle Standardverfahren dokumentiert sind. Es müssen Löschfristen und Auskunftsrechte beachtet werden sowie eine Datenschutzfolgeabschätzung durchgeführt werden.

Ferner gilt es Informationspflichten zu beachten sowie ein internes Rollen- und Berechtigungskonzept anzulegen. Auch muss ein Datenschutzbeauftragter benannt werden. CRM-Systeme helfen dabei AV-Verträge mit den Kunden abzuschließen und können auch bei Web-Formularen entsprechende Hilfestellungen geben. Die Pflicht liegt aber letztlich immer beim Unternehmen selbst. (vgl. Simon Böffgen vom 27.06.2018 auf centalstationcrm.de)

15 Juli 2019

Lesen Sie mehr über:
CRM DSGVO Datenschutz Kundendaten

Freshworks: Visionär im Gartner Magic Quadrant 2021

Der CRM-Experte Freshworks wurde auch in diesem Jahr wieder von Gartner ausgezeichnet. Mehr erfahren Sie hier.

Lesen Sie weiter

DHL: Kundenservice bei WhatsApp

Der Paket- und Brief-Express-Dienst DHL erweitert seinen Kundenservice. Welche Möglichkeiten Kunden künftig auf WhatsApp zur Verfügung stehen, lesen Sie hier.

Lesen Sie weiter