26. September 2019
Die Gründung von Start-Ups & Recht
Die Gründer von Start-Ups denken vor allem an Businesspläne für Investoren, […]
Vor kurzem kam es zu einem Datenfehler bei der Lufthansa, bei der Miles-and-More-Kunden kurzzeitig vertrauliche Daten anderer, zeitlich eingeloggter Kunden zu sehen waren.
Was war geschehen?
Bei der Lufthansa kam am 9. Dezember 2019 zu einem enormen Datenfehler. User, die sich in ihrem Miles-and-More-Konto anmeldeten, konnten in die Daten anderer User sehen. Auch möglich war das Einlösen fremder Bonusmeilen. Der Datenfehler dauerte rund 40 Minuten.
Erst nachdem sich eine große Anzahl an Kunden bei der Hotline meldeten und sich beschwerte, wurde das Portal zunächst komplett deaktiviert, um Missbrauch vorzubeugen.
Bei dem Miles & More Programm handelt es sich um ein Bonusporgramm der Miles & More GmbH, die 100-prozentige Tochtergesellschaft der Lufthansa AG ist. Laut dem Unternehmen basiere die Panne nicht auf einem Hackerangriff, sondern vielmehr auf einem technischen Fehlers auf Seiten des Unternehmens.
Ca. 10.000 potenziell betroffene Kunden
Die Lufthansa gab an, dass nur Miles-and-More-Kunden von dem Datenfehler betroffen sind, die am 9. Dezember zwischen 16:00 und 16:40 Uhr auf dem Portal eingeloggt waren. Alle anderen Systeme von Miles & More wie etwa die App oder die Website der Lufthansa selbst (www.LH.com) waren nicht betroffen, versicherte das Unternehmen.
Welche Daten waren ersichtlich?
Neben Name, Geburtsdatum, Adresse, Email, Telefonnummer, Servicekartenummer waren auch Benutzername, Meilenstand, Transaktionsdaten und weitere Daten durch jeweils fremde Personen einsehbar.
Nicht ersichtlich waren die vollständigen Daten von Bankkonten und angegeben Kreditkarten. Hier waren jeweils die letzten vier Stellen ersichtlich, wie es in solchen Portalen oftmals üblich ist. Insoweit schließt die Miles & More GmbH einen Kartenmissbrauch aus.
Insgesamt sollen Daten aus ca. 10.000 Konten abgerufen worden sein. Dabei wurden diese teils dem Inhaber des Kontos angezeigt worden sein und teilweise auch anderen, parallel eingeloggten Nutzers. Nutzer berichteten auch, dass ihnen jeweils bei sogar mehreren Anmeldeversuchen Daten fremder Personen angezeigt worden sind, darunter auch die Anzahl der Bonusmeilen mit der Möglichkeit, diese einzulösen. Das Unternehmen versicherte den Betroffenen, bei widerrechtlich abgebuchten Meilen diese umgehend wieder gut zuschreiben.
Bereits mehrfach berichteten wir über Datenpannen innerhalb von teils namhaften Unternehmen. So auch in diesem und diesem Beitrag.
Überprüfungen des Datenfehlers laufen
Wie es zu dem Fehler kommen konnte, ist bisher noch nicht abschließend geprüft.
Die Login-Funktion ist wieder verfügbar, doch es kann weiterhin zu Verzögerungen kommen. Zudem sind zur Zeit Änderungen an den Profildaten nicht möglich.
Die Miles & More GmbH gab bekannt, dass sie mit den zuständigen Datenschutzbehörden in Kontakt stehen. Ob Sie mit weitergehenden Folgen zu rechnen hat, ist bisher nicht geklärt.
Was droht bei DSGVO-Verstößen?
Art. 83 Abs. 4 DSGVO sieht bei Verstößen Geldbußen von bis zu 10 000 000 EUR oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vor. Mehr über die Bußgelder der DSGVO erfahren Sie hier.
Außerdem kann von den Betroffenen bei Datenpannen grundsätzlich Schadensersatz verlangt werden. Die Höhe der Entschädigung hängt vom Grad der Beeinträchtigung ab. Mehr Infos darüber finden Sie hier.
Wir helfen Ihnen!
Haben Sie als Verantwortlicher eine Frage zu Datenpannen oder zu anderen Themen der DSGVO? Mit unserem DSGVO Online Test können Sie prüfen, ob Ihr Unternehmen fit für die DSGVO ist. Außerdem bieten wir ein DSGVO Website Update zum Festpreis an.
