DSGVO-Verstoß: British Airways droht Rekordstrafe

DSGVO-Verstoß: British Airways droht Rekordstrafe

Der britischen Fluggesellschaft British Airways droht nun eine Rekordstrafe in Höhe von 204 Millionen Euro wegen einer Datenschutzpanne in 2018.

Es wäre die bisher höchste Strafe gegen ein Unternehmen im Rahmen der neuen DSGVO, die je erhoben wurde. Die britische Datenschutzbehörde (Information Commissioner's Office – ICO) fordert von der Fluggesellschaft ein Bußgeld von umgerechnet 204 Millionen Euro. Das wären in etwa 1,5% des Umsatzes des Unternehmens. Empfindlich, weshalb die Airline derzeit prüfe, ob Widerspruch eingelegt werde. Was war passiert? Bei einem Hackerangriff hatten Kriminelle die Daten und Kreditkarteninformationen von rund 500.000 Kunden, die zwischen dem 21.08.2018 und dem 05.09.2018 auf der Homepage der Airline über Kreditkarte einen Flug buchten, abgegriffen. 

British Airways hätte besser schützen müssen

So lautet der Vorwurf der ICO. Ihrer Ansicht nach hätten schwache Sicherheitsvorkehrungen den Diebstahl der Kundendaten erst ermöglicht. Alex Cruz, Chef der BA International Airlines Group (IAG) sei indes von der Entscheidung überrascht und gleichermaßen enttäuscht. Ihm sei nicht bekannt, dass die gestohlenen Daten in irgendeiner Weise missbräuchlich benutzt worden seien. Die Aktie der Airline fiel nach Bekanntgabe der Strafe direkt um einen Prozentpunkt. (vgl. Oliver Bünte auf heise.de vom 08.07.2019) Ob British Airline die Strafe zu zahlen hat, wird sich in den nächsten Wochen zeigen. 

CRM-Systeme und die DSVGO

Seit Einführung der neuen EU-Datenschutzrichtlinien kommt kein Unternehmen mehr an dem Thema vorbei. CRM-Systeme helfen Unternehmen zwar dabei Datenschutzkonform mit den Kundendaten zu arbeiten, entlasten diese jedoch nicht in Gänze. Werden Kundendaten verarbeitet, so empfiehlt es sich immer einen Auftragsverarbeitungs-Vertrag mit den Kunden abzuschließen. Auch muss ein internes Verarbeitungsverzeichnis angelegt werden, in dem alle Standardverfahren dokumentiert sind. Es müssen Löschfristen und Auskunftsrechte beachtet werden sowie eine Datenschutzfolgeabschätzung durchgeführt werden.

Ferner gilt es Informationspflichten zu beachten sowie ein internes Rollen- und Berechtigungskonzept anzulegen. Auch muss ein Datenschutzbeauftragter benannt werden. CRM-Systeme helfen dabei AV-Verträge mit den Kunden abzuschließen und können auch bei Web-Formularen entsprechende Hilfestellungen geben. Die Pflicht liegt aber letztlich immer beim Unternehmen selbst. (vgl. Simon Böffgen vom 27.06.2018 auf centalstationcrm.de)

15 Juli 2019

Lesen Sie mehr über:
CRM DSGVO Datenschutz Kundendaten

5 verbreitete CRM-ERP-Schwachstellen

… und wie Sie sie beheben. Erfahren Sie mehr über den Mehrwert einer vollumfänglichen Verknüpfung von ERP- und CRM-Software.

Lesen Sie weiter

Der Supermarkt der Zukunft

Ein Blick auf Amazon Go; den kassenlosen Supermarkt der Zukunft und die „Just walk out“-Technologie.

Lesen Sie weiter