Am 8. Juli 2019 wurde bekannt gegeben, dass British Airways zu einer Geldstrafe von 183 Millionen Pfund an das ICO (Information Commissioner Office, das britische Pendant zur französischen Datenschutzbehörde CNIL) verurteilt wurde. Der Diebstahl von Finanzdaten von Hunderttausenden von Kunden im Jahr 2018 stellte einen eindeutigen Verstoß gegen die DSGVO dar.
Enttäuscht über die Entscheidung der ICO erklärte Alex Cruz, CEO von British Airways: „British Airways hat schnell auf den kriminellen Diebstahl seiner Kundendaten reagiert. Es wurden keine Hinweise auf betrügerische Aktivitäten auf den von diesem Diebstahl betroffenen Konten gefunden.“
Die ICO-Beauftragte Elizabeth Denham gab eine Erklärung ab: „Wenn Ihnen personenbezogene Daten anvertraut werden, müssen Sie diese schützen. Wer dies nicht tut, wird strafrechtlich verfolgt.“
Die gestohlenen Informationen betrafen Namen, Postanschriften, E-Mail-Adressen und Bankdaten der Kunden des Unternehmens.
Seit dem Angriff hat die Fluggesellschaft jedoch ihre Sicherheitsvorkehrungen verbessert. Der ursprüngliche Betrag der von der ICO verhängten Geldbuße entspricht 1,5 % des Jahresumsatzes von British Airways für 2017. Die ICO könnte daher den Betrag der gegen die Fluggesellschaft verhängten Geldbuße nach unten korrigieren.
Fast das ganze Jahr 2018 über, von Juni bis Oktober, hat British Airways über den Cyberangriff berichtet, der mit einer IT-Sicherheitslücke zusammenhing. Die Fluggesellschaft hat außerdem Entschädigungen für die betroffenen Reisenden versprochen.
Laut RiskIQ (einem amerikanischen IT-Sicherheitsunternehmen) soll die kriminelle Gruppe „Magecart“, die auch in den Ticketmaster-Fall verwickelt ist, hinter dem Cyberangriff stecken.
