Fragen und Antworten zum Datenschutzvorfall

Es gab einen unberechtigten Zugriff auf die IT-Infrastruktur eines Dienstleisters für die von Lufthansa Group genutzte Anwendung, die bei Flugunregelmäßigkeiten Übernachtungsgutscheine für Hotels ausstellt. Dabei konnten einige Datensätze von betroffenen Gästen eingesehen werden.

Betroffen waren Vor- und Nachname, Geschlecht, Mobilfunknummer (falls angegeben), Informationen zu einer Reise mit Kleinkind, Flugnummer, Gutscheinnummer und der Tag der Hotelbuchung. Andere Daten wie Zahlungsinformationen oder E-Mail-Adressen waren nicht betroffen.

Der Vorfall trat auf, weil temporär Login-Daten für das IT-System unseres externen Dienstleisters für Dritte einsehbar waren, was zu einem unberechtigten Zugriff auf diese Systeme führte. Dieser Zugang wurde sofort gesperrt, nachdem der Vorfall entdeckt wurde.

Der Vorfall wurde durch eine interne Sicherheitsprüfung aufgedeckt, bei der Unregelmäßigkeiten im Zugriff auf die IT-Systeme des beauftragten Dienstleisters festgestellt wurden.

Nein, die Überprüfungen haben keine Hinweise auf weitere unberechtigte Zugriffe oder die Veröffentlichung von Daten ergeben.

Es besteht für Sie kein unmittelbares Risiko. Im schlimmsten Fall könnten Sie eventuell von unberechtigten Personen kontaktiert werden, zum Beispiel im Zusammenhang mit Ihrer Hotelübernachtung.

Mögliche Folgen des Vorfalls könnten sein, dass betroffene Personen von unberechtigten Personen kontaktiert werden, beispielsweise durch Phishing-Versuche per SMS oder Telefonanrufe. Es besteht ein geringes Risiko, dass jemand versucht, die erlangten Informationen zu missbrauchen, um auf persönliche Daten zuzugreifen oder betrügerische Absichten zu verfolgen. Da jedoch keine sensiblen Informationen wie Zahlungsinformationen oder E-Mail-Adressen betroffen sind, ist das allgemeine Risiko als begrenzt einzuschätzen.

Es sind keine unmittelbaren Schritte Ihrerseits erforderlich. Lufthansa Group empfiehlt jedoch, wachsam auf verdächtige Kontaktversuche wie Phishing-Nachrichten oder unerwartete Anrufe zu achten.

Nach Entdeckung des Zugriffs wurde das IT-System unseres externen Dienstleisters sofort deaktiviert und Maßnahmen ergriffen, um den Vorfall zu beheben und Ihre Daten zu schützen.

Es wurden alle Zugangsdaten erneuert, die Sicherheit der Software getestet, mögliche weitere Zugriffe überprüft und keine Hinweise auf die Veröffentlichung der Daten gefunden. Zudem wurden die Installationsverfahren unseres externen Dienstleisters verbessert und die externen Entwickler verstärkend für IT-Sicherheit sensibilisiert.

Nach umfassenden Sicherheitsprüfungen und der Implementierung zusätzlicher Schutzmaßnahmen wurde die Sicherheit des externen Systems sichergestellt. Die Lufthansa Group nutzt zudem fortlaufend modernste Sicherheitstechnologien und setzt auf die regelmäßige Schulung unserer externen Mitarbeitenden.

Ja, betroffene Kunden wurden von Lufthansa Group direkt informiert, sobald alle notwendigen Informationen vorlagen und die Abstimmung mit der zuständigen Aufsichtsbehörde für Datenschutz und Informationssicherheit abgeschlossen waren.

Die Untersuchung des Vorfalls und die Abstimmung mit der Datenschutzbehörde sowie die Umsetzung umfangreicher Sicherheitsmaßnahmen haben Zeit in Anspruch genommen. Nachdem diese Prozesse vollständig abgeschlossen werden konnten, haben wir Sie umgehend informiert.

Wir informieren Sie per E-Mail, da Ihre E-Mail-Adresse sicher in unserem internen System gespeichert ist, welches nicht von dem Vorfall betroffen war. Dies ermöglicht uns, Sie zuverlässig und schnell über den Vorfall zu benachrichtigen, auch wenn lediglich auf Mobilfunknummern zugegriffen wurde. Auf diesem Weg können wir sicherstellen, dass Sie alle wichtigen Informationen erhalten und gegebenenfalls auf mögliche Risiken wie Phishing-Versuche aufmerksam gemacht werden.

Der Schutz Ihrer Daten hat für die Lufthansa Group oberste Priorität. Dazu werden eine Vielzahl technischer und organisatorischer Maßnahmen eingesetzt, um Ihre persönlichen Informationen zu sichern. Dazu gehören moderne Verschlüsselungstechnologien, regelmäßige Sicherheitsupdates und Zugriffsüberwachungen. Die IT-Systeme der Lufthansa Group werden kontinuierlich auf Sicherheitslücken geprüft und die Mitarbeitenden regelmäßig im Umgang mit Datenschutz und Datensicherheit geschult.

Ja, wir haben den Vorfall unverzüglich dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit gemeldet. In enger Zusammenarbeit mit der Behörde wurden alle erforderlichen Maßnahmen umgesetzt, um den Vorfall zu bewerten und sicherzustellen, dass die datenschutzrechtlichen Anforderungen erfüllt wurden.