Die Bedeutung des Datenschutzes wurde im Mai 2024 wieder verdeutlicht. Verschiedenen Aufsichtsbehörden in Europa verhängten zahlreiche Bußgelder. Offensichtlich werden Datenschutzgesetze weiterhin strikt durchgesetzt und ernst genommen. Es wurde festgestellt, dass verschiedene Unternehmen aus verschiedenen Branchen gegen diese Gesetze verstoßen haben und die europäischen Aufsichtsbehörden zögerten nicht, diese zur Rechenschaft zu ziehen. Weitere Informationen zu Art und Schwere der verhängten Strafen finden Sie in unserem Beitrag.
DIE WICHTIGSTEN BUSSGELDER IM ÜBERBLICKSIGMA
Die italienische Datenschutzbehörde (GPDP) hat gegen Sigma Sanktionen verhängt, nachdem festgestellt wurde, dass das Unternehmen ohne Wissen der Kunden Verträge abschloss. Die Untersuchung begann mit einer Beschwerde einer Person, die unberechtigte Abbuchungen entdeckt hatte. Sigma-Mitarbeiter führten betrügerisch Hunderte von Vertragsabschlüssen durch, fälschten Unterschriften auf Tablets und umgingen Vodafones Datenschutzkontrollen. Eine Durchsuchung ergab zudem, dass im Geschäft zum Verkauf stehende Mobiltelefone und über 1.100 SIM-Karten mit Vertragskonten verknüpft waren. Sigma handelte dabei als unabhängiger Datenverarbeiter und es wurde ein Bußgeld von 150.000 € auferlegt.
AVAST SOFTWARE SOWIE AVAST LIMITED
Die tschechische Behörde entdeckte, dass Avast die persönlichen Daten von ungefähr 100 Millionen Nutzern seiner Antivirensoftware und Browsererweiterungen an ein Schwesterunternehmen übermittelte, ohne dafür eine rechtliche Grundlage zu haben. Diese übertragenen Daten enthielten Internetbrowser-Verläufe, die nur pseudonymisiert und mit eindeutigen Kennungen versehen waren. Avast hatte außerdem die Benutzer darüber getäuscht, dass diese Daten anonymisiert würden und ausschließlich für statistische Zwecke genutzt würden.
Die Untersuchung ergab, dass diese Daten potenziell zur Identifizierung der Nutzer führen könnten und somit als personenbezogene Daten gelten. Dies stellt einen schwerwiegenden Verstoß dar, insbesondere weil Avast sich als Experte für Cybersicherheit darstellt und verpflichtet ist, die Privatsphäre und Daten seiner Nutzer zu schützen. Als Folge dieses Verstoßes hat die Behörde Avast ein Bußgeld in Höhe von 14.025.974 € auferlegt.
4FINANCE SPAIN FINANCIAL SERVICES
Die spanische Datenschutzbehörde AEPD hat einen Sicherheitsvorfall bei 4FINANCE SPAIN FINANCIAL SERVICES (VIVUS) untersucht, bei dem Kundendaten durch einen Brute-Force-Angriff kompromittiert wurden. Obwohl der Datenschutzbeauftragte von VIVUS das Risiko anfangs als zu gering für eine Benachrichtigung der Betroffenen einschätzte, forderte die AEPD das Unternehmen auf, die Kunden zu informieren. Mehrere Beschwerden deuteten zusätzlich auf Fälle von Identitätsdiebstahl hin. Die Risikobewertung des Unternehmens hatte das tatsächliche Risiko deutlich unterschätzt. Ursprünglich wurde ein Bußgeld von 600.000 EUR verhängt, welches nach freiwilliger Zahlung und Schuldeingeständnis auf 360.000 EUR reduziert wurde.
PPLINGO
Die Behörden haben eine detaillierte Untersuchung bei PPLingo durchgeführt, als eine bedeutende Datenpanne auftrat. Das Unternehmen, das online Sprachkurse für Kinder weltweit anbietet, verwendete ein leichtsinniges Passwort, das auf dem Namen seiner Webseite basierte. Infolge dieses Sicherheitsmangels waren über 500.000 Nutzerdaten betroffen. Zu den kompromittierten Daten zählten Handynummern, Bankverbindungen, Unterschriften und Ausweisnummern chinesischer Bürger. Das Bußgeld betrug 74.000 €.
INNENMINISTERIUM
Die griechische Datenschutzbehörde hat auf Basis von 66 Beschwerden, die zwischen dem 1. März und dem 16. April 2024 eingingen, ein Bußgeld von 400.000 Euro gegen das Innenministerium verhängt. Der Vorwurf war, dass Ministerium hatte eine Liste mit persönlichen Daten von 25.610 im Ausland lebenden griechischen Staatsbürgern an eine Abgeordnete des Europaparlaments weitergegeben, die diese Informationen verwendete, um Newsletter per E-Mail zu versenden. Die Datenschutzbehörde urteilte, dass dieser Vorgang rechtswidrig war.
DIE WICHTIGSTEN BUSSGELDER IM ÜBERBLICKSIGMA
Die italienische Datenschutzbehörde (GPDP) hat gegen Sigma Sanktionen verhängt, nachdem festgestellt wurde, dass das Unternehmen ohne Wissen der Kunden Verträge abschloss. Die Untersuchung begann mit einer Beschwerde einer Person, die unberechtigte Abbuchungen entdeckt hatte. Sigma-Mitarbeiter führten betrügerisch Hunderte von Vertragsabschlüssen durch, fälschten Unterschriften auf Tablets und umgingen Vodafones Datenschutzkontrollen. Eine Durchsuchung ergab zudem, dass im Geschäft zum Verkauf stehende Mobiltelefone und über 1.100 SIM-Karten mit Vertragskonten verknüpft waren. Sigma handelte dabei als unabhängiger Datenverarbeiter und es wurde ein Bußgeld von 150.000 € auferlegt.
AVAST SOFTWARE SOWIE AVAST LIMITED
Die tschechische Behörde entdeckte, dass Avast die persönlichen Daten von ungefähr 100 Millionen Nutzern seiner Antivirensoftware und Browsererweiterungen an ein Schwesterunternehmen übermittelte, ohne dafür eine rechtliche Grundlage zu haben. Diese übertragenen Daten enthielten Internetbrowser-Verläufe, die nur pseudonymisiert und mit eindeutigen Kennungen versehen waren. Avast hatte außerdem die Benutzer darüber getäuscht, dass diese Daten anonymisiert würden und ausschließlich für statistische Zwecke genutzt würden.
Die Untersuchung ergab, dass diese Daten potenziell zur Identifizierung der Nutzer führen könnten und somit als personenbezogene Daten gelten. Dies stellt einen schwerwiegenden Verstoß dar, insbesondere weil Avast sich als Experte für Cybersicherheit darstellt und verpflichtet ist, die Privatsphäre und Daten seiner Nutzer zu schützen. Als Folge dieses Verstoßes hat die Behörde Avast ein Bußgeld in Höhe von 14.025.974 € auferlegt.
4FINANCE SPAIN FINANCIAL SERVICES
Die spanische Datenschutzbehörde AEPD hat einen Sicherheitsvorfall bei 4FINANCE SPAIN FINANCIAL SERVICES (VIVUS) untersucht, bei dem Kundendaten durch einen Brute-Force-Angriff kompromittiert wurden. Obwohl der Datenschutzbeauftragte von VIVUS das Risiko anfangs als zu gering für eine Benachrichtigung der Betroffenen einschätzte, forderte die AEPD das Unternehmen auf, die Kunden zu informieren. Mehrere Beschwerden deuteten zusätzlich auf Fälle von Identitätsdiebstahl hin. Die Risikobewertung des Unternehmens hatte das tatsächliche Risiko deutlich unterschätzt. Ursprünglich wurde ein Bußgeld von 600.000 EUR verhängt, welches nach freiwilliger Zahlung und Schuldeingeständnis auf 360.000 EUR reduziert wurde.
PPLINGO
Die Behörden haben eine detaillierte Untersuchung bei PPLingo durchgeführt, als eine bedeutende Datenpanne auftrat. Das Unternehmen, das online Sprachkurse für Kinder weltweit anbietet, verwendete ein leichtsinniges Passwort, das auf dem Namen seiner Webseite basierte. Infolge dieses Sicherheitsmangels waren über 500.000 Nutzerdaten betroffen. Zu den kompromittierten Daten zählten Handynummern, Bankverbindungen, Unterschriften und Ausweisnummern chinesischer Bürger. Das Bußgeld betrug 74.000 €.
INNENMINISTERIUM
Die griechische Datenschutzbehörde hat auf Basis von 66 Beschwerden, die zwischen dem 1. März und dem 16. April 2024 eingingen, ein Bußgeld von 400.000 Euro gegen das Innenministerium verhängt. Der Vorwurf war, dass Ministerium hatte eine Liste mit persönlichen Daten von 25.610 im Ausland lebenden griechischen Staatsbürgern an eine Abgeordnete des Europaparlaments weitergegeben, die diese Informationen verwendete, um Newsletter per E-Mail zu versenden. Die Datenschutzbehörde urteilte, dass dieser Vorgang rechtswidrig war.
