Nach Hackerangriff: Air-Europa rät Reisenden zur Kreditkartensperrung

Table of Contents

Die drittgrößte Airline Spaniens wurde offenbar Opfer einer Hacker Attacke. Laut einem Bericht der Webseite BleepingComputer führte bei Air Europa ein Hacker Angriff dazu, dass sensible Kreditkartendaten von Reisenden in die Hände der Kriminellen fielen.

Unbekannt ist noch die Anzahl der betroffenen Flugpassagiere. Umso prekärer ist jedoch, dass sich Hacker nicht zum ersten Mal bei der Fluggesellschaft Zugriff auf Kreditkartendaten von Reisenden verschafft haben. So gab es bereits 2021 einen Fall, bei dem insgesamt die Daten von 489.000 Personen von Hacker gestohlen wurden, darunter auch Kreditkartennummern. Damals verhängte die spanische Datenschutzbehörde ein Bußgeld von 600.000 € an Air Europa, weil diese die 72 Stunden Meldefrist für Datenschutzvorfälle nicht eingehalten hat und erst 40 Tage später Meldung abgab. Die Airline schätzte das Risiko damals auf Mittel ein und unterliess daher eine Meldung an die Betroffenen. In Folge dessen wurden über 4000 Kreditkartenbetrugsfälle bekannt, die Im Zusammenhang mit dem Datenleck gebracht wurden.

Welche Daten wurden veröffentlicht?

Im Zentrum der Veröffentlichung stehen persönliche Daten in Form Kreditkartendaten

  • Kreditkartennummer
  • dreistelliger CVV Code (Card Verification Value)
  • Ablaufdatum der Kreditkarte

beinhaltet. Aus den Presseberichten geht nicht hervor, ob auch weitere persönliche Daten wie Name, Anschrift, Geburtsdatum und Emails gestohlen wurden.

Unsere Risikobewertung

Hoch: die Eintrittswahrscheinlichkeit, dass die Hacker die gestohlenen Daten an Kreditkartenbetrüger weiterverkaufen und diese die dann nutzen ist sehr hoch, zumal das schon beim letzten Angriff auf Air Europa so geschehen ist. Die geleakten Kreditkarteninformationen können benutzt werden um Zahlungen durchzuführen. Der dadurch zu erwartende finanzielle Schaden für die Betroffenen ist somit mit hoch wenn auch wahrscheinlich nicht Existenzbedrohend einzustufen.

Was wurde versäumt?

Wie in den meisten Fällen wurde hier Artikel 32 der DSGVO missachtet. Denn auf Grundlage von Art. 32 DSGVO (Sicherheit der Verarbeitung) sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dem Fluganbieter war zudem bereits aus einer früheren Fehleinschätzung bekannt, dass das damals als mittel eingestufte Risikoeinschätzung zu niedrig angesetzt war und in Folge des Incident Response Managements geeignete Maßnahmen zu wählen gewesen waren, um einen erneuten Vorfall zu verhundern. Zudem waren die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) zu berücksichtigen. In Erwägungsgrund 83DSGVO Satz 3 heisst es explizit: “bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegungvon oder unbefugter Zugang zu personenbezogenen Daten (hier durch die Hackergruppe), die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.

In der Beurteilung der bearbeitenden Datenschutzbehörde wird auf jeden Fall berücksichtigt werden, dass bereits ein ähnlicher Fall in der Vergangenheit zu einem Bußgeld führte. Sollte Air Europa nicht in geeigneter Weise nachweisen können, dass die technischen und organisatorischen Maßnahmen, die Sie als Antwort auf den alten Vorfall gewählt haben ausreichend sind, so droht ein hohes Bußgeld.

Sind Forderungen auf Schadensersatz realistisch?

Eine Argumentation nach DSGVO Artikel 82 Abs.1 in Verbindung mit §253 BGB auf Schadenersatz kann hier Aussicht auf Erfolg haben, wenn nachgewiesen wird, dass ein finanzieller Schaden durch Kreditkartenbetrug entstanden ist, der bereits vor Information der Betroffenen durch Air Europa stattfand. Unklar ist nach aktueller Rechtsprechung hingegen, ob der Diebstahl von allen zur Zahlung notwendigen Kreditkartendaten bereits mehr als einen immateriellen Schaden in Form eines Bagatellschadens darstellt.

Hinweis: dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur die persönliche Meinung des Authoren wieder.

Related Posts

Datenleck der Stadt Köln: Persönliche Daten von 45.000 Temposündern öffentlich im Netz

Ein Datenleck bei der Stadt Köln hat dazu geführt, dass persönliche Daten von Rasern, darunter Namen und Kennzeichen, mehr als ein Jahr lang öffentlich auf ihrer Open Data Plattform einsehbar waren. Dieser Vorfall wirft ernsthafte Fragen zum Datenschutz und zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) auf.

Read More

Mögliches Datenleck bei Vodafone

Auf welchen Grundlagen könnten Bußgelder begründet werden Laut einem Bericht der Online Plattform Correctiv kam es bei Vodafone zu einem Datenleck bei dem wörtlich sensible Daten wie Passwörter und Kundennummern, aber auch Kopien von Personalausweisen oder Kreditkarten jeweils mit Vorder- und Rückseite, Vertragsdetails, Kontonummern und Bankverbindungen, die individuelle Handy-Kennung (IMEI-Daten), Adressen, Geburtstage, Telefonnummern für Vodafone Beschäftigte von rund 400 Vertragspartner Agenturen und Fachhändler einsehbar waren. Laut Bericht der Plattform war dieses Datenleck bis in das Frühjahr 2023 offen.

Read More

Der Motel-One Hack - Grundlage für Schadensersatz

Laut eines Berichts des Online Magazins Heise sind fast 6 TerraByte an Personenbezogenen Reisedaten aus dem Bestand von MotelOne im DarkNet aufgetaucht. Die Hacker Gruppe BlackCat forderte erst ein Lösegeld und als dieses nicht kam veröffentlichten Sie die Daten.

Read More