Crazyradio ausprobiert: vom Logitech Wireless-Presenter zur CMD
9. Januar 2020
Cisco Security Appliances: under Attack via alten Bug
13. Januar 2020Crazyradio ausprobiert: vom Logitech Wireless-Presenter zur CMD
9. Januar 2020Cisco Security Appliances: under Attack via alten Bug
13. Januar 2020
Was waren 2019 die Top 10 Verstöße gegen die Datenschutz-Grundverordnung und ihre Folgen.
Je nachdem, welche Medien man konsumierte, war es mal lauter mal leiser um die DSGVO.
Folgend, gereiht nach der Höhe des Bußgelds, die mir bekannten Top 10 Verstöße gegen die DSGVO:
- Mit einem Bußgeld von 204 Mio. Euro betrug die Strafe gegen British Airways etwa 1,4 Prozent des weltweiten Umsatzes des Konzerns und liegt somit klar auf Platz 1.
Der Grund war eine Hacker-Attacke auf die Webseite, wo die Täter Website-Besucher auf eine betrügerische Seite umleiteten und dadurch von ca. 500.000 Kunden der Airline u.a. Anschriften und Kreditkartendaten stahlen. Die ICO stützt die Höhe des Bußgelds auf mangelnde Sicherheitsvorkehrungen („poor security arrangements″) bei British Airways. - Auf Platz 2 liegt der Hotelgigant Marriott International mit einem Bußgeld von 110. Mio. Euro.
Entstanden ist diese Strafe durch ein Datenleck bei der Marriott-Tochter Starwood, bei der rund 339 Millionen Nutzerdaten durch einen Angriff kompromittiert wurden. - Google liegt mit einem Bußgeld von 50 Mio. Euro auf Platz 3.
Da nach Ansicht der französischen Datenschutzbehörde CNIL Google Nutzerinnen und Nutzern Informationen zur Verwendung der erhobenen Daten und zum Speicherzeitraum nicht einfach genug zugänglich macht, kritisiert die CNIL einen “Mangel an Transparenz” und verlangt daher diese Strafzahlung. - Die Post bringt allen was… nämlich zB der österreichischen Datenschutzbehörde 18 Mio. Euro aufgrund einer Verwaltungsstrafe, wegen dem sammeln von Daten zu Parteiaffinitäten.
- Aus einer Pressemitteilung der Berliner Datenschutzbeauftragten für Datenschutz und Informationsfreiheit geht hervor, dass diese gegen die Immobiliengesellschaft Deutsche Wohnen SE ein Bußgeld von rund 14,5 Mio. Euro verhängt.
Der Grund für dieses Bußgeld sei, dass das Unternehmen personenbezogene Daten speichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. - Gegen den Telekomdienstleister 1&1 Telecom GmbH verhängt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit eine Geldbuße in der Höhe von 9,5 Mio. Euro.
Der Grund war, dass anscheinend keine hinreichenden technischen und organisatorischen Maßnahmen (TOM) ergriffen wurden, um telefonische Anrufer sicher zu authentifizieren. - Mit einem Bußgeld (Übersetzer von Vorteil :-)) von 2,6 Mio. Euro traf es die National Revenue Agency, Bulgarien.
Diese hatte keine ausreichende technische und organisatorische Maßnahmen (TOM) zur Gewährleistung der IT-Sicherheit ergriffen, wodurch es Hacker gelang, Zugang in die Datenbank des bulgarischen Finanzverwalters zu erhalten und somit Millionen personenbezogene Daten von Kunden und auch sensible Unternehmensdaten abzugreifen. - Die niederländische Regierungsbehörde UWV traf es mit einer Strafe von 900.000 Euro aufgrund fehlender Multi-Faktor-Authentifizierung.
- Wegen eines Hackerangriffs erhält der polnische Onlinehändler morele.net eine Strafe in Höhe von 645.000 Euro.
Zudem kam das Bußgeld aufgrund fehlender Nachweisbarkeit von einzuholenden Einwilligungen zur Datenverarbeitung zustande. - last but not least wurde die bulgarische DSK Bank mit einem Bußgeld von 511.000 Euro zur Kasse gebeten.
Wie Reuters berichtet, sickerten aufgrund unzureichender technischer und organisatorischer Maßnahmen (TOM) personenbezogene Daten von über 330.000 Bankkunden durch. Dritte hatten unter anderem Zugang zu 23.000 Kreditkartendaten und persönliche Daten wie Name, Staatsangehörigkeit, Identifikationsnummern, Adressen, Ausweiskopien und biometrische Daten.
Wie kann es zu diesen Summen kommen?
Die Datenschutz-Grundverordnung sieht bei einem Verstoß gegen den Datenschutz Bußgelder von bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor.
Neben einem Bußgeld kann es auch noch zu Schadensersatzansprüchen kommen. Voraussetzung für den Schadenersatzanspruch ist, dass der betroffenen Person durch die unrechtmäßige Verarbeitung ihrer Daten ein Schaden entstanden ist. Dieser kann in einem Vermögensnachteil (Vermögensschaden), aber auch in einem ideelen Schaden liegen, was in ErwG 75 der DSGVO sehr umfassend beschrieben ist.
Es dürfte sich also auszahlen, sich mit dem Thema Datenschutz und Informationssicherheit auseinanderzusetzen, denn:
VORBEREITET ZU SEIN IST EINFACH, WENN MAN EINEN GUTEN PLAN HAT
An dieser Stelle möchte ich nochmals darauf hinweisen, dass Datenschutz-Vorfälle unter gewissen Umständen meldepflichtig sind und auf unseren BLOG Artikel Data-Breach inkl. der Muster-Vorlage für die Dokumentation von Datenschutz-Vorfällen verweisen.
Möchten Sie Ihre DSGVO-Readiness prüfen?
Dann sprechen Sie uns an, das Erstberatungsgespräch ist kostenlos!
