Der aktuelle Fall rund um die Fluggesellschaften Air France und KLM verdeutlicht die Risiken für Unternehmen beim Einsatz externer Dienstleister. Ein Cyberangriff auf einen Drittanbieter im Kundenservice führte dazu, dass personenbezogene Daten von Kunden in die Hände Unbefugter gelangten. Über den Datendiebstahl beim Dienstleister von Air France und KLM hatten die Airlines am 06.08.2026 informiert. Zwar betont KLM, dass keine hochsensiblen Daten wie Passwörter oder Zahlungsinformationen abgeflossen seien, der Vorfall offenbart aber dennoch, dass Schwachstellen nicht selten auch außerhalb der eigenen Systeme liegen können.
Weiterlesen: Datendiebstahl beim Dienstleister von Air France und KLMDer Vorfall im Überblick
KLM hat öffentlich gemacht, dass Unbekannte über einen externen Kundendienstleister Zugriff auf persönliche Kundendaten der Airlines erhielten. Nach Angaben von KLM sind die internen Systeme der Airlines nicht komprimiert. Gleichwohl seien Fluggastdaten wie Namen, E-Mail-Adressen, Telefonnummern sowie Daten zu einzelnen Transaktionen und Prämienprogrammen entwendet worden. Auch wenn Pass- und Kreditkartendaten sowie Passwörter nach derzeitiger Kenntnis nicht kompromittiert worden seien, besteht nun ein Risiko für Betroffene.
Reaktion der Fluggesellschaften
Die betroffenen Fluggesellschaften haben nach eigenen Angaben umgehend reagiert. KLM habe die niederländische Aufsichtsbehörde in Kenntnis gesetzt. Air France soll sich an die französische Datenschutzaufsicht gewendet haben. Parallel seien interne Sicherheitsmaßnahmen ergriffen worden, um weitere unbefugte Zugriffe zu verhindern. Betroffene Kunden würden nun informiert und zugleich vor potenziellen Betrugsversuchen gewarnt. Zur Ermittlung, welche Kunden genau betroffen sind, hat der Hamburgische Datenschutzbeauftragte erst kürzlich ein nützliches Werkzeug bereitgestellt.
Risiken von Datendiebstahl
Schon der Besitz solcher personenbezogener Informationen reicht für Angreifer aus, um gezielte Phishing-Kampagnen oder Social-Engineering-Angriffe zu starten. Mithilfe der erbeuteten Daten erstellen Kriminelle teilweise täuschend echte, E-Mails, SMS, Rechnungen oder sogar KI-Sprachnachrichten anhand derer sie versuchen, sich finanzielle Vorteile zu verschaffen. Opfer werden regelmäßig emotional unter Druck gesetzt und dazu verleitet Überweisungen zu tätigen oder auf gefälschten Bankwebseiten ihre Zugangsdaten einzugeben.
Datenschutzrechtliche Bewertung
Rechtlich stellt der Vorfall ein klassisches Beispiel für die Risiken der Auftragsverarbeitung dar. Gerade in Bereichen wie Kundenservice, Zahlungsabwicklung oder Cloud-Dienstleistungen greifen Unternehmen regelmäßig auf externe Anbieter zurück. Solche externen Dienstleister sind gemäß der Datenschutzgrundverordnung (DSGVO) strikt an die Weisungen des Verantwortlichen gebunden und müssen genauso wie die Verantwortlichen selbst ein ausreichendes Schutzniveau gewährleisten. Wird dieses nicht eingehalten und kommt es zum Datenabfluss, trägt das beauftragende Unternehmen dennoch die Verantwortung gegenüber den Betroffenen und den Aufsichtsbehörden.
Der Fall unterstreicht deshalb die besondere Bedeutung von sorgfältigen Auswahl- und Kontrollprozessen im Umgang mit externen Dienstleistern. Unternehmen sind verpflichtet, vertraglich sicherzustellen, dass Dienstleister technische und organisatorische Maßnahmen zum Schutz der Daten ergreifen. Noch wichtiger ist die kontinuierliche Überprüfung dieser Maßnahmen.
Aus Unternehmenssicht reicht es daher nicht aus, entsprechende Verträge einmalig abzuschließen. Vielmehr müssen regelmäßige Audits, technische Prüfungen und klare Meldeprozesse etabliert werden. Werden Schwachstellen bei Dienstleistern bekannt, müssen diese umgehend angegangen werden.
Fazit
Der Datendiebstahl beim Dienstleister von Air France und KLM verdeutlicht, dass Datensicherheit nicht an den eigenen Unternehmensgrenzen endet. Für Verantwortliche heißt dies, dass sie Dienstleister konsequent in ihre Sicherheits- und Datenschutzstrategie einbinden müssen. Neben klaren vertraglichen Regelungen sind regelmäßige Kontrollen und Notfallpläne unverzichtbar. Nur so lassen sich die rechtlichen Risiken aus der DSGVO beherrschen, das Vertrauen der Kunden wahren sowie Geldbußen vermeiden.
