AEPD verhängt 600.000 Euro Bußgeld gegen AIR EUROPA LINEAS AÉREAS S.A.
Spanien: Ausgangspunkt des vorliegenden Bußgeldbescheids ist eine schwere Datenpanne, die sich im Jahr 2018 bei Air Europa ereignet hatte. Über einen Zeitraum von mehreren Monaten war es Hackern gelungen, zahlreiche Kreditkartennummern von Kunden abzuschöpfen. Die Airline erfuhr von dem Datendiebstahl erst, nachdem dessen Mutterkonzern (GLOBALIA CORPORACIÓN EMPRESARIAL, S.A.) im Oktober 2018 von mehreren Kreditkartenunternehmen darüber in Kenntnis gesetzt wurde, dass etwa 4.000 mutmaßlich gestohlene Kreditkarten mitsamt persönlichen und finanziellen Informationen seiner Kunden für betrügerische Handlungen missbraucht wurden. Wie sich anschließend herausstellte, waren von dem Vorfall ingesamt ca. 489.000 Kunden mit rund 1.500.000 zugehörigen Aufzeichnungen betroffen.
Nachdem die Airline vom Vorfall erfahren hatte, gab sie eine forensische Analyse bei einem IT-Dienstleister in Auftrag. Diese ergab, dass die Hacker für ihren Angriff Entschlüsselungstools verwendet hatten, welche sie auf den Unternehmenssystemen vorgefunden hatten. Des Weiteren hatte das Unternehmen Kreditkartendaten nicht separat von anderen personenbezogenen Daten der Karteninhaber (Anschrift, Telefonnummer, Pass, ID, Geburtsdatum, usw.) gespeichert. Hierin erkannte die spanische Datenschutzbehörde eine Verletzung der Pflicht des Verantwortlichen, angemessene technische und organisatorische Maßnahmen zum Schutz der Verarbeitung personenbezogener Daten zu implementieren.
Ferner hatte der Bußgeldempfänger die Datenpanne nicht fristgemäß binnen 72 Stunden nach Bekanntwerden an die Datenschutzbehörde gemeldet. Obwohl er bereits im Oktober 2018 vom Datendiebstahl erfuhr, wurde die Datenschutzbehörde erst am 28. November 2018 darüber informiert.
Bei der Festsetzung der Bußgeldhöhe wurde erschwerend berücksichtigt, dass der Vorfall nicht lokal beschränkt war, sondern sehr viele Menschen nicht nur in Spanien selbst sondern weltweit betraf, und dass mit Bank- und Finanzdaten sensible Daten betroffen waren, wodurch mehrere Tausend Menschen nachweislich zu Schaden gekommen waren. Auch wurde negativ gewertet, dass der Datendiebstahl sich über mehrere Monate erstreckte und durch das Versäumnis von Air Europa, angemessene Sicherheitsmaßnahmen umzusetzen, begünstigt wurde.
Das Bußgeld setzt sich anteilig aus 500.000 Euro für einen Verstoß gegen Art. 32 Abs. 1 DSGVO und 100.000 Euro für einen Verstoß gegen Art. 33 DSGVO zusammen. .
Veröffentlicht am: 19-03-2021
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.