Zurück zur Übersicht
20.01.2021

460T Euro Bußgeld für fehlende Kontrollen

Eine Bedrohung nicht schnell genug zu erkennen und zu beseitigen führte bei der Firma ID Finance Poland zu Datenverlusten. Daher stellte der Präsident des Amtes für den Schutz personenbezogener Daten (UODO) fest, dass das Unternehmen keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hatte, was zu einem Verlust der Vertraulichkeit des Prinzips der personenbezogenen Daten führte, und verhängte eine Verwaltungsstrafe gegen das Unternehmen in Höhe von insgesamt 460.000 Euro.

Das betroffene Unternehmen (Eigentümer einer Kreditvergabeplattform MoneyMan.pl) hat nicht angemessen auf das Signal über Lücken in seiner Sicherheit reagiert. Es überprüfte nicht schnell genug die Hinweise, dass die Daten seines Kunden auf einem seiner Server öffentlich verfügbar waren. Diese Meldung wurde nicht ernst genommen, so dass ein paar Tage, nachdem das Unternehmen das Signal erhalten hatte, eine unbefugte Person die Daten kopiert und anschließend vom Server gelöscht hat. Die Person forderte ein Lösegeld für die Rückgabe der gestohlenen Informationen. Erst dann begann das Unternehmen, die Sicherheitsmerkmale auf seinen Servern zu analysieren und meldete die Datenverletzung gleichzeitig der Aufsichtsbehörde.

In dem Verfahren stellte die UODO fest, dass die Verletzung erfolgte nachdem es versäumt worden war, die entsprechende Sicherheitskonfiguration wiederherzustellen, nachdem einer der vom Auftragsverarbeiter (Hosting-Unternehmen) betriebenen Server neu gestartet worden war. Der für die Verarbeitung Verantwortliche wurde von einem seiner Cybersicherheitsspezialisten darüber informiert, der die Schwachstelle entdeckte und auf beispielhafte, öffentlich zugängliche Informationen hinwies. Anstatt die eingegangenen Meldungen sorgfältig zu prüfen und den Auftragsverarbeiter zu überwachen, ob er den Fall im Sinne einer Überprüfung der Sicherheit ordnungsgemäß bearbeitet hat, hatte der für die Verarbeitung Verantwortliche Zweifel, ob es sich hierbei um einen Versuch handelt, weitere Daten von ihm zu erpressen, was er in seiner Korrespondenz mit dem Auftragsverarbeiter angab. Infolgedessen wurden die festgestellten Sicherheitslücken des Systems nicht sofort überprüft und einige Tage später wurden die Daten von diesem Server gestohlen.

Zu dieser Datenpanne wäre es nicht gekommen, wenn der für die Verarbeitung Verantwortliche sofort angemessen auf die Information reagiert hätte, dass die Daten auf seinem Server ungesichert waren. Nach Ansicht des Amts für den Schutz personenbezogener Daten sollte der für die Verarbeitung Verantwortliche die Fähigkeit aufrechterhalten, Verstöße schnell und effektiv zu erkennen, um entsprechende Maßnahmen ergreifen zu können. Darüber hinaus sollte der für die Verarbeitung Verantwortliche in der Lage sein, den Vorfall schnell dahingehend zu untersuchen, ob eine Datenverletzung vorliegt und entsprechende Abhilfemaßnahmen zu ergreifen.

Die Aufsichtsbehörde stellte auch fest, dass das Fehlen einer ausreichend schnellen Reaktion des Auftragsverarbeiters auf die Meldung, die Verantwortung des für die Verarbeitung Verantwortlichen für die Datenverletzung nicht ausschließt. Der für die Verarbeitung Verantwortliche muss in der Lage sein, eine Datenverletzung zu erkennen, zu beheben und zu melden – dies ist ein entscheidendes Element der technischen und organisatorischen Maßnahmen.

Nach Ansicht der UODO hat das Unternehmen, obwohl es den Auftragsverarbeiter umgehend über eine mögliche Sicherheitslücke des Servers informiert hat, keine ausreichenden Maßnahmen ergriffen. Das Verfahren zeigte, dass der Controller die diesbezüglichen Meldungen nur kurz analysierte, aber nicht ernst nahm. Der Auftragsverarbeiter wurde  nicht verpflichtet, den den Sicherheitsvorfall ordnungsgemäß zu bearbeiten.

Bei der Verhängung einer Geldstrafe für den Verlust der Vertraulichkeit personenbezogener Daten aufgrund einer Reihe von Nachlässigkeiten des für die Verarbeitung Verantwortlichen berücksichtigte die UODO das Ausmaß der Verletzung und den Umfang der gestohlenen Daten. Da auch unverschlüsselte Passwörter betroffen waren, ist es außerdem möglich, diese Daten verwendet werden, um sich in verschiedene Kundenkonten einzuloggen, wenn sie auf anderen Websites das gleiche Login (z. B. E-Mail) und Passwort verwendet haben. Bei der Festsetzung der Höhe des Bußgeldes berücksichtigte die Behörde auch den Verzug des für die Verarbeitung Verantwortlichen bei der Ergreifung von Präventivmaßnahmen.

Die Höhe der Geldbuße sollte sowohl eine repressive als auch eine präventive Funktion erfüllen. Sie soll nach Ansicht der Behörde, ähnliche Verstöße in der Zukunft sowohl in dem bestraften Unternehmen als auch bei anderen Verantwortlichen verhindern.

Quelle: UODO

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks