Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

Datenschutzbehörde Niederlande verhängt 400.000,- EUR DSGVO-Bußgeld wg. unsicherer Datenverarbeitung

Wie die niederländische Datenschutzbehörde mitteilt, hat sie gegen die Fluggesellschaft Transavia  ein DSGVO-Bußgeld iHv. 400.000,- EUR verhängt, weil das Unternehmen kein hinreichende Absicherung bei seiner Datenverarbeitung vorgenommen hat.

Gegenstand der Thematik ist dabei Art. 32 DSGVO, der vorschreibt, dass der Verantwortliche die hinreichenden technischen und organisatorischen Maßnahmen ergreift, um die erforderliche Sicherheit zu gewährleisten.

Hiergegen habe das Unternehmen, so die Behörde, verstoßen:

"The hacker broke into Transavia’s systems in September 2019 using two of the company’s IT department accounts.

There were three security flaws that made it simple for the hacker to do this:

  • The password was easy to guess.
  • Only the password was needed to enter the system. There was no multi-factor authentication in place requiring a person or system to provide two or more verification factors to gain access, such as a password and a code sent by text message.
  • Once the hacker had control over the two accounts, he also had access to multiple Transavia systems. This is because the access rights connected to these accounts were not restricted to necessary systems only."

Insgesamt waren von dem Angriff 25 Millionen Datensätze betroffen. Heruntergeladen wurden nach den Erkenntnissen jedoch nur ca. 83.000 Datensätze.

"The hacker had access to the personal data of 25 million passengers, including names, dates of birth, gender, email addresses, telephone numbers, flight information and booking numbers.

There is no evidence that the hacker actually viewed or copied all of this data, but he could have because of the poor security.

The hacker did, however, download the personal data of around 83,000 people, including a list of passenger data from 2015 containing names, dates of birth and flight information.

The data also included medical information of 367 people who had for example requested to take a wheelchair with them or additional services because they were blind or deaf."

Zurück zu den Artikeln

Rechts-News durch­suchen

VG Düsseldorf: Transportverschlüsselung bei E-Mails grundsätzlich ausreichend, Ende-zu-Ende-Verschlüsselung nicht notwendig

Datenschutzrecht
21. April 2026
Bei E-Mails mit normalen personenbezogenen Daten reicht eine Transportverschlüsselung aus, eine Ende-zu-Ende-Verschlüsselung ist nicht nötig.
ganzen Text lesen

BGH: DSGVO-Auskunftsanspruch nach Art. 15. DSGVO geht nicht automatisch als Nebenrecht über / Anspruch abtretbar?

Datenschutzrecht
16. April 2026
Ein Dritter kann eine DSGVO-Auskunft nur bei klarer Abtretung verlangen, wobei die Möglichkeit der Abtretung ungeklärt bleibt. Der Anspruch geht nicht…
ganzen Text lesen

BGH: Geschäftsführer können private Daten (Privatadresse und Unterschrift) aus Handelsregister löschen lassen

Datenschutzrecht
02. April 2026
Geschäftsführer dürfen private Adresse und Unterschrift aus dem Handelsregister löschen lassen, wenn sie nicht gesetzlich vorgeschrieben sind.
ganzen Text lesen

LSG Celle: Krankenkasse muss keine Auskunft über Whistleblower erteilen

Datenschutzrecht
26. März 2026
Der Betroffene erhält von seiner Krankenkasse keine Auskunft über einen Hinweisgeber, da Sozialdatenschutz und Anonymität überwiegen.
ganzen Text lesen

Rechts-News durchsuchen