Die drittgrößte Airline Spaniens wurde offenbar Opfer einer Hacker Attacke. Laut einem Bericht der Webseite BleepingComputer führte bei Air Europa ein Hacker Angriff dazu, dass sensible Kreditkartendaten von Reisenden in die Hände der Kriminellen fielen.
Unbekannt ist noch die Anzahl der betroffenen Flugpassagiere. Umso prekärer ist jedoch, dass sich Hacker nicht zum ersten Mal bei der Fluggesellschaft Zugriff auf Kreditkartendaten von Reisenden verschafft haben. So gab es bereits 2021 einen Fall, bei dem insgesamt die Daten von 489.000 Personen von Hacker gestohlen wurden, darunter auch Kreditkartennummern. Damals verhängte die spanische Datenschutzbehörde ein Bußgeld von 600.000 € an Air Europa, weil diese die 72 Stunden Meldefrist für Datenschutzvorfälle nicht eingehalten hat und erst 40 Tage später Meldung abgab. Die Airline schätzte das Risiko damals auf Mittel ein und unterliess daher eine Meldung an die Betroffenen. In Folge dessen wurden über 4000 Kreditkartenbetrugsfälle bekannt, die Im Zusammenhang mit dem Datenleck gebracht wurden.
Welche Daten wurden veröffentlicht?
Im Zentrum der Veröffentlichung stehen persönliche Daten in Form Kreditkartendaten
- Kreditkartennummer
- dreistelliger CVV Code (Card Verification Value)
- Ablaufdatum der Kreditkarte
beinhaltet. Aus den Presseberichten geht nicht hervor, ob auch weitere persönliche Daten wie Name, Anschrift, Geburtsdatum und Emails gestohlen wurden.
Unsere Risikobewertung
Hoch: die Eintrittswahrscheinlichkeit, dass die Hacker die gestohlenen Daten an Kreditkartenbetrüger weiterverkaufen und diese die dann nutzen ist sehr hoch, zumal das schon beim letzten Angriff auf Air Europa so geschehen ist. Die geleakten Kreditkarteninformationen können benutzt werden um Zahlungen durchzuführen. Der dadurch zu erwartende finanzielle Schaden für die Betroffenen ist somit mit hoch wenn auch wahrscheinlich nicht Existenzbedrohend einzustufen.
Was wurde versäumt?
Wie in den meisten Fällen wurde hier Artikel 32 der DSGVO missachtet. Denn auf Grundlage von Art. 32 DSGVO (Sicherheit der Verarbeitung) sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dem Fluganbieter war zudem bereits aus einer früheren Fehleinschätzung bekannt, dass das damals als mittel eingestufte Risikoeinschätzung zu niedrig angesetzt war und in Folge des Incident Response Managements geeignete Maßnahmen zu wählen gewesen waren, um einen erneuten Vorfall zu verhundern. Zudem waren die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) zu berücksichtigen. In Erwägungsgrund 83 DSGVO Satz 3 heisst es explizit: „bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten (hier durch die Hackergruppe), die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.„
In der Beurteilung der bearbeitenden Datenschutzbehörde wird auf jeden Fall berücksichtigt werden, dass bereits ein ähnlicher Fall in der Vergangenheit zu einem Bußgeld führte. Sollte Air Europa nicht in geeigneter Weise nachweisen können, dass die technischen und organisatorischen Maßnahmen, die Sie als Antwort auf den alten Vorfall gewählt haben ausreichend sind, so droht ein hohes Bußgeld.
Sind Forderungen auf Schadensersatz realistisch?
Eine Argumentation nach DSGVO Artikel 82 Abs.1 in Verbindung mit §253 BGB auf Schadenersatz kann hier Aussicht auf Erfolg haben, wenn nachgewiesen wird, dass ein finanzieller Schaden durch Kreditkartenbetrug entstanden ist, der bereits vor Information der Betroffenen durch Air Europa stattfand. Unklar ist nach aktueller Rechtsprechung hingegen, ob der Diebstahl von allen zur Zahlung notwendigen Kreditkartendaten bereits mehr als einen immateriellen Schaden in Form eines Bagatellschadens darstellt.
Hinweis: dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur die persönliche Meinung des Authoren wieder.