Bußgelder wegen unzureichenden Sicherheitsmaßnahmen

Die DS-GVO verpflichtet Unternehmen in Art. 32 dazu, die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten personenbezogenen Daten mit angemessenen technischen und organisatorischen Maßnahmen (TOMs) zu schützen. Es muss daher mit entsprechenden Schutzmaßnahmen sichergestellt werden, dass das Risiko für Betroffene, das mit der Verarbeitung ihrer personenbezogenen Daten einhergeht, möglichst gering ist (risikobasierter Ansatz). Bei der Beurteilung, ob die TOMs ein ausreichendes Schutzniveau bieten, sind verschiedene Faktoren zu berücksichtigen, die in Art. 32 Abs. 1 1. Hs. DS-GVO aufgelistet sind. Hierzu gehören

  • der Stand der Technik
  • die Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • die Eintrittswahrscheinlichkeit eines Risikos (Schadens) für Betroffene
  • die Schwere des Risikos für die Rechte und Freiheiten Betroffener

Sowohl die deutschen als auch die Aufsichtsbehörden anderer Länder haben bereits eine Reihe von Bußgeldern verhängt, wenn diese Vorgaben nicht ausreichend umgesetzt worden sind. Für Verstöße gegen Art. 32 DS-GVO wurden vergleichsweise im Schnitt die höchsten Bußgelder verhängt.

Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Deutschland

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württembergs (LFDI) verhängte dieses Bußgeld gegen eine gesetzliche Krankenkasse. Diese führte mehrmals Online-Gewinnspiele durch. Um die damit gesammelten personenbezogenen Daten für Marketingzwecke nutzen zu können, holte sie von den Teilnehmern eine Einwilligung ein. Durch den Einsatz von TOMs sollte sichergestellt werden, dass nur die Daten der Personen genutzt werden, die auch ihre Einwilligung erteilt hatten. Dies verhinderte jedoch nicht, dass die Daten von 500 Personen genutzt wurden, obwohl diese keine Einwilligung erteilt hatten. Es fehlte also ein Verfahren zur regelmäßigen Überprüfung und Anpassung der TOMs, das die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer (hier: die Nicht-Verwendung der Daten ohne Einwilligung der Teilnehmer) gewährleistet.

Nach einem Hackerangriff im Juli wurden personenbezogene Daten von rd. 330.000 Benutzern, darunter Passwörter und E-Mail-Adressen, bekannt gegeben. Wie sich herausstellte, waren die Passwörter im Klartext, und damit unverschlüsselt und unverfremdet gespeichert. Das betroffene Unternehmen war nach dem Datenschutzverstoß besonders kooperativ, hat seine Melde- und Informationspflichten erfüllt und alles Mögliche getan, um den Schaden für die Betroffenen so gering wie möglich zu halten. Deshalb hat die Aufsichtsbehörde das Bußgeld im Verhältnis zu den Verstößen eher niedrig bemessen.

Gesundheitsdaten wurden versehentlich im Internet veröffentlicht. Weitere Informationen zu der Strafe werden von der zuständigen Datenschutzbehörde aufgrund der Sensibilität der betroffenen Daten nicht veröffentlicht.

Das Authentifizierungsverfahren eines Telekommunikationsdienstleisters bei telefonischen Anfragen war nicht ausreichend, um eine Person eindeutig zu identifizieren. Teilweise waren die Angabe des Namens und des Geburtsdatums ausreichend, um weitere persönliche Informationen zu erhalten. Zwar hatte das Unternehmen rasch reagiert und das Verfahren angepasst, jedoch entschied sich der Bundesdatenschutzbeauftragte trotzdem ein Bußgeld von 9,55 Millionen Euro zu verhängen, da das unzureichende Authentifizierungsverfahren für den gesamten Kundenstamm des Unternehmens eine Verletzung der Vertraulichkeit darstellte.

Ein Widerspruch des Unternehmens gegen das Bußgeld hatte vor Gericht teilweise Erfolg. Die Richter bestätigten den Datenschutzverstoß, legten den Begriff der Angemessenheit aber anders aus. Die Höhe des Bußgelds wurde deshalb auf 900.000 Euro reduziert (LG Bonn, Urteil vom 11.11.2020, Az.: 29 OWi 1/20 LG).

In Folge einer Datenpannenmeldung gem. Art. 33 DS-GVO ermittelte die niedersächsische Aufsichtsbehörde gegen einen Webshop-Betreiber Dabei stellte die Behörde fest, dass im Webshop eine veraltete Version einer Webshop-Anwendung verwendet wurde, die vom Softwarehersteller seit 2014 nicht mehr mit Sicherheitsupdates beliefert wurde. In Folge dessen ermöglichten es veraltete und nicht dem Stand der Technik entsprechende Sicherheitsmaßnahmen unter anderem, mit geringem Aufwand die Passwörter der Shop-Kunden im Klartext zu erhalten. Dies stellt einen Verstoß gegen die Pflicht, durch technische und organisatorische Maßnahmen ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, dar. Diese Verletzung von Datenschutzpflichten wurde mit einem Bußgeld in Höhe von 65.500 Euro geahndet.

Die Geldbuße wurde gegen ein Krankenhaus verhängt, das strukturelle Defizite im Patientenmanagement aufwies. Grund für das Bußgeld waren mehrere Verstöße gegen die DS-GVO wegen unzureichender Technisch-Organisatorischer Maßnahmen beim Patientenmanagement. Bekannt wurden die Schwächen im Zusammenhang mit einer Patientenverwechslung, die eine falsche Rechnungsstellung zur Folge hatte.

Die Aufsichtsbehörde betonte, dass die Geldbuße auch als Signal gewertet werden soll, dass gerade auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag gelegt werden müssen.

Belgien

Ein Telekommunikationsdienstleister hatte die Telefonnummer des Betroffenen einem unberechtigten Dritten zugewiesen. Dadurch verlor der Betroffene den Zugriff auf seine Daten, die der Dritte zeitgleich hätte einsehen können. Betroffenen waren unter anderem die Anrufhistorie, der Datenverkehr sowie Accounts, die mit der Rufnummer verknüpft waren. Das Unternehmen informierte weder die Aufsichtsbehörde noch die betroffene Person über den Vorfall.

Bulgarien

Die DSK Bank hatte keine angemessenen Technisch-Organisatorischen Maßnahmen getroffen, um bei den eingesetzten Systemen und Diensten ein ausreichendes Schutzniveau sicherzustellen.

Kriminellen ist es dadurch gelungen vertrauliche Daten von rund 33.500 Bankkunden zu ergattern. Sie erhielten über Privatpersonen folgende Informationen: Name, Staatsbürgerschaft, persönliche Identifikationsnummer, aktuelle Anschrift, Kopie des Personalausweises und der darin enthaltenen biometrischen Daten sowie das Einkommen und den Gesundheitszustand der Kreditnehmer und Dritter.

Dänemark

Der Stadtverwaltung Gladsaxe wurde ein Computer mit Daten von 20.620 Einwohnern gestohlen. Der Rechner war nicht verschlüsselt, obwohl darauf vertrauliche Informationen der Bewohner der Stadt inklusive deren persönlicher Identifikationsnummer gespeichert waren.

England

Sicherheitslücken beim Firmennetzwerk der britischen Fluggesellschaft British Airways ermöglichten es Hackern, sich über ein Administratorkonto Zugang zu mehreren Servern zu verschaffen. Dadurch erhielten sie Zugriff auf Daten von 108.000 Kreditkarten sowie Daten von 429.612 Kunden und Mitarbeitern sowie eventuell weitere Zugangsdaten wie Benutzernamen und Passwörter. Zudem manipulierten die Hacker die Website des Unternehmens, sodass die Userdaten über mehrere Wochen hinweg auf den Webserver der Angreifer weitergeleitet wurden. Ursprünglich betrug der Bußgeld 204,6 Millionen Euro, es wurde aufgrund der Corona bedingten Umsatzeinbußen der Fluggesellschaft deutlich reduziert.

Die Hotelgruppe Marriott International ist mit einem Bußgeld von über 110 Mio. Euro belangt worden. Der Grund hierfür liegt in einem jahrelang offenen System, über das Hacker Zugriff auf Kundendaten hatten. Es waren Daten von rund 339 Millionen Gästen der Hotelgruppe weltweit betroffen. Da die Hotelbranche besonders stark unter den Auswirkungen der Corona-Pandemie und den damit verbundenen Einschränkungen zu leiden hat, senkte die Behörde das Bußgeld im Oktober 2020 auf gut 20 Mio. Euro.

Unzureichende Schutzmaßnahmen auf der Zahlungswebsite eines Ticketverkaufs- und Vertriebsunternehmens ermöglichten es Hackern, Kreditkartendaten von potenziell 9,4 Millionen Karteninhabern abzugreifen. Obwohl IT-Spezialisten beauftragt wurden, wurde der Schadcode erst circa 3 Monate nach Bekanntwerden des Vorfalls entdeckt. Wie bekannt wurde, befand dieser sich in einem Chat-Bot und wertete sämtliche Eingaben in das Webformular aus.

Frankreich

In diesem Fall verhängte die französische Aufsichtsbehörde gegen ein Online-Schuh-Versandhaus ein Bußgeld wegen verschiedener Verstöße gegen die DS-GVO. Sanktioniert wurden unter anderem Verstöße gegen den Grundsatz der Datensparsamkeit, den Grundsatz der Speicherbegrenzung und wegen fehlenden Informationspflichten gegenüber Betroffenen. Darüber hinaus bemängelte die Behörde, die Gewährleistung der Datensicherheit, weil Kunden beim Anlegen eines Benutzerkontos nicht gezwungen waren, ein sicheres Passwort zu wählen. Außerdem erfolgte lediglich eine ein-minutige Sperrung der IP-Adresse, wenn von dieser IP-Adresse 19 Fehlversuche beim Login innerhalb einer Minute durchgeführt wurden. Zusätzlich waren Kunden verpflichtet, Kopien ihrer Bankkarte per unverschlüsselter E-Mail zu senden und diese Scans wurden 6 Monate in Klartext gespeichert.

Die französische Aufsichtsbehörde verhängte gegen einen Lieferdienst ein Bußgeld wegen verschiedener Verstöße gegen die DS-GVO, unter anderem wegen fehlender Einwilligungen, unzureichender Datenschutzinformationen und unvollständiger Beantwortung von Auskunftsersuchen. Darüber hinaus bemängelte die Behörde, dass Kunden beim Anlegen eines Benutzerkontos auf der Website oder in der App nicht gezwungen waren, ein sicheres Passwort zu wählen.

Italien

Ein italienischer Telekommunikationsanbieter führte Millionen von Werbeanrufen ohne wirksame Einwilligung durch. Es lagen in vielen Fällen jedoch Werbewidersprüche oder Einträge in einer öffentlichen Opt-Out-Liste vor. Zusätzlich enthielten die Apps unrichtige und intransparente Informationen zur Datenverarbeitung. In Bezug auf die TOMs entsprachen die eingesetzten IT-Systeme nicht den rechtlichen Anforderungen und auch der Prozess zur Behandlung von Datenpannen war unzureichend. Besonders schwerwiegend war, dass der Abgleich von Werbewidersprüchen zwischen dem Telekommunikationsanbieter und den beauftragten Call-Centern und die aufgezeichneten telefonischen Bestellungen inkonsistent war und diese Aufnahmen länger als zulässig gespeichert wurden.

Ein italienisches Gesundheitsunternehmen verwendete auf seiner Webseite zur Buchung von Coronatests das unsichere http-Netzprotokoll anstatt der verschlüsselten Verbindung über https. Auch der Server entsprach nicht den gängigen Sicherheitsstandards. So konnten Listen von Personen eingesehen werden, die sich zur Grippeimpfung für die 2020/21-Saision angemeldet hatten. Zusätzlich konnten Unbefugte nicht nur die Namen von Betroffenen einsehen, sondern auch auf Steuer- und Telefonnummern sowie den Ort der Impfung zugreifen. Durch dieses Verhalten hat das Gesundheitsunternehmen die Schutzziele der Integrität und Vertraulichkeit verletzt und da die Datenpanne nicht gemeldet wurde, lag zusätzlich noch ein Verstoß gegen die Meldepflicht aus Art. 33 DS-GVO vor.

Eine italienische Umweltschutzbehörde meldete der Aufsichtsbehörde den Verlust einer externen Festplatte, auf der unter anderem Ausweiskopien, Steuerunterlagen, Lohnabrechnungen, Rückerstattungsunterlagen und Daten zu Gerichtsverfahren gespeichert waren. Bei ihren Untersuchungen stellte die Behörde fest, dass die Festplatte, die mit einem behördeninternen Server verbunden war, keiner ausreichenden Zugriffskontrolle unterlag. Sie befand sich in einem für alle Mitarbeiter der Umweltschutzbehörde sowie einer zugehörigen Unternehmenssparte offen zugänglichem Raum. Zudem existierte keine Sicherheitskopie, weshalb die Daten größtenteils unwiederbringlich verlorengegangen sind.

Eine Schule hatte eine Liste auf der eigenen Website frei herunterladbar veröffentlicht. Auf dieser Liste waren die Namen der Schüler, die eine Aufnahme an der Schule beantragt hatten. Doch nicht nur die Namen wurden veröffentlicht, sondern auch Gesundheitsvermerke, die Anzahl der Schulwechsel oder -abbrüche, etwaige Einschränkungen sowie Leistungsinformationen.

Der Datenschutzvorfall ereignete sich aufgrund eines Fehlers eines Mitarbeiters der Schule. Zudem wurde kritisiert, dass die Schule mit der Erhebung verschiedenster Daten auch gegen den Grundsatz der Datenminimierung verstoßen hatte.

Da die Schule während des Verfahrens mit der Aufsichtsbehörde gut kooperierte und auch neue technischen- organisatorischen-Maßnahmen einführte, um Fehler dergleichen zukünftig zu vermeiden, fiel das Bußgeld relativ gering aus.

Vodafone Italien erhielt ein Bußgeld, nachdem bei der Aufsichtsbehörde mehrere hundert Beschwerden wegen unerwünschter Telefonwerbung eingingen. Bei den Ermittlungen deckte die Aufsichtsbehörde zudem Verstöße gegen Grundprinzipien der DS-GVO auf. Außerdem waren die Maßnahmen zu Schutz der Kundendaten unzureichend.

Niederlande

Ein niederländisches Unternehmen bot seinen Beschäftigten ein Online-Formular, über diese Krankheitstage melden konnten. Der Zugriff erfolgte nur mittels einfachen Logins, was im Hinblick auf die Sensibilität der betroffenen Daten nicht ausreichend ist. Zudem führte das Unternehmen unzulässigerweise umfangreiche Dokumentationen zu Ursachen und Gründen von krankheitsbedingten Fehltagen.

Eine orthopädische Praxis in den Niederlanden bot auf ihrer Website die Möglichkeit, sich als Patient zu registrieren. Neben einigen Pflichtfeldern mit Angaben zur Person des Patienten konnten in dem zugehörigen Formular auch Informationen zu Eltern, Haus- und Zahnärzten sowie der Krankenkasse angegeben werden. Wie die Behörde feststellte, erfolgte die Übermittlung an die Praxis allerdings ungeschützt über eine unverschlüsselte Verbindung. Dies stellt einen Verstoß gegen Art. 32 Abs. 1 DS-GVO dar, da kein angemessenes Schutzniveau gewährleistet wurde.

Norwegen

Ein Finanzinstitut wollte Kunden im Login-Bereich eine neue Funktion zur Verfügung stellen, mit der sie unter anderem einen Überblick über bei der betreffenden Bank aufgenommene Kredite erhalten sollten. Dies wurde vor der Freischaltung bei rund 500 Nutzern allerdings nur unzureichend getestet, sodass ein Fehler bei den Nutzerberechtigungen zu einer Datenpanne führte. Die eingeloggten Nutzer hatten auch Zugriff auf die Daten anderer Kunden. Eine Risikoanalyse hatte das Unternehmen für die neue Funktion ebenfalls nicht durchgeführt. Die Aufsichtsbehörde sah darin einen Verstoß gegen Art. 14, 32 DS-GVO und betonte, dass die Datenpanne bei einer Einhaltung der Datenschutzvorgaben hätte vermieden werden können.

Polen

Nach einem manuellen Serverneustart kam es auf der Website eines Finanzinstituts zu einer Datenpanne, da die Sicherheitseinstellungen nicht übernommen, sondern zurückgesetzt wurden. Dadurch hatten Unbefugte Zugriff auf Daten von 140.699 Kunden, die auf der Website für Kreditvergabe registriert waren. Betroffen waren unter anderem auch Informationen zum Gehalt, Familienstand, Sozialversicherungsnummer, Steuernummer, Accountpasswort, Geburtsort sowie die Kontonummer der Personen. Cyberkriminelle griffen die Daten ab, löschten sie von Server und verlangten eine Geldzahlung für die Rückgabe der Informationen. Nach Ansicht der Aufsichtsbehörde hatte das Unternehmen trotz des hohen Risikos für Betroffene nur unzureichende Sicherheitsmaßnahmen umgesetzt, um die Daten angemessen zu schützen. Zudem meldete das Unternehmen den Vorfall der Behörde nicht fristgerecht und nicht im ausreichenden Umfang.

Ein Mitarbeiter der Warschauer Universität speicherte, aufgrund von mangelhaften organisatorischen Maßnahmen und ohne Wissen des Verantwortlichen, Daten von Studierenden über 5 Jahre auf seinem Laptop. Zu den gespeicherten personenbezogenen Daten gehörten u. a. der Name, das Geschlecht, die Nationalität, die Staatsbürgerschaft, die Wohnadresse, Serie und Nummer eines Personalausweises, PESEL-Identifikationsnumer etc. Der Laptop wurde anschließend gestohlen.

Die Datenschutzbehörde bemängelte im vorliegenden Fall vier Punkte:

  1. unzureichende technische-organisatorische Maßnahmen
  2. Versäumnis des Verantwortlichen die Grundsätze der Rechenschaftspflicht bei der Verarbeitung von personenbezogenen Daten zu berücksichtigen
  3. mangelhafte Einbindung des Datenschutzbeauftragten
  4. Fehlende Dokumentation der Verarbeitung von personenbezogenen Daten der Studierenden im Verfahrensverzeichnis (Art. 30 Abs. 1 lit. d) DS-GVO)

Portugal

Die Untersuchung der Beschwerde eines Patienten ergab, dass die Mit-arbeiter des Krankenhauses durch falsche Benutzerrollen Zugang zu Patientendaten hatten, die sie nicht benötigten. Das Profilverwaltungssystem schien nur in der Theorie zu bestehen – das Krankenhaus hatte 985 registrierte Arztprofile, angestellt waren aber nur 296 Ärzte. Darüber hinaus hatten die Ärzte uneingeschränkten Zugang zu allen Patientenakten unabhängig von ihrer Spezialisierung.

Rumänien

Eine Bank hat aufgrund mangelhafter technischer- und organisatorischer Maßnahmen bei Überweisungen den Empfängern die Identifikationsnummer und Adresse des Auftraggebers offengelegt. Dies verletzte den Grundsatz Data Protection by Design, da die technischen Prozesse bei der Bank nicht so gestaltet waren, dass die Rechte und Freiheiten der Betroffenen angemessen geschützt werden. Betroffen waren hier ca. 337.000 Kunden.

Ein rumänisches Unternehmen aus dem Gesundheitswesen bietet eine Online-Anmeldung für Seminare an. Meldet sich ein Teilnehmer für ein Seminar an, wird automatisch eine E-Mail mit den Anmeldedaten an den jeweiligen Teilnehmer versendet. In dem vorliegenden Fall wurden die Anmeldedaten, aufgrund eines technischen Fehlers, jedoch an andere Teilnehmer versandt. Diese Situation führte zur Offenlegung und zum unbefugten Zugriff Dritter auf die Daten der Teilnehmer des Seminars. Insgesamt wurden rund 1300 Teilnehmerdaten an unbefugte Dritte versandt. Der für die Verarbeitung Verantwortliche bemerkte den technischen Fehler und meldete die Datenpanne selbst der Aufsichtsbehörde. Diese sah in der Datenpanne eine Verletzung des Grundsatzes der Integrität und Vertraulichkeit gem. Art. 5 Abs. 1 lit. f) DS-GVO.

Gegen den Verantwortlichen einer rumänischen Bank wurde aufgrund einer Beschwerde bei der Datenschutzbehörde eine Untersuchung eingeleitet. Es wurde festgestellt, dass eine Sammlung von Kopien von Ausweisdokumenten einzelner Kunden (hauptsächlich Minderjährige und deren gesetzliche Vertreter) über das private Telefon eines Mitarbeiters via WhatsApp versendet wurde. Die Datenschutzbehörde stellte fest, dass die Bank keine angemessenen organisatorischen Maßnahmen getroffen hat, um ein dem Verarbeitungsrisiko angemessenes Sicherheitsniveau zu gewährleisten. Außerdem hat der Verantwortliche keine Schritte unternommen, um sicherzustellen, dass Mitarbeiter nur unter seiner Anweisung arbeiten und personenbezogene Daten auch nur auf seiner Anfrage hin verarbeiten.

Spanien

Ein Kunde von Vodafone Spanien beschwerte sich bei der Aufsichtsbehörde, nachdem er Dienstleistungen im Namen eines Dritten erhielt und auf Nachfrage beim Kundenservice eine Antwort bekam, die sich ebenfalls auf das Anliegen jenes Dritten bezog. Nach Angabe des Telekommunikationsdienstleisters wurden durch einen Systemfehler nach einer Systemmigration die Daten der beiden Kunden verknüpft. Diese fehlerhafte Zuordnung wurde zu spät behoben. Das ursprüngliche Bußgeld in Höhe von 90.000 Euro wurde auf 54.000 Euro gesenkt, da das Unternehmen die Schuld anerkannte und fristgerecht zahlte.

Aufgrund von fehlenden geeigneten Maßnahmen zur telefonischen Authentifizierung, war es einem Unberechtigten gelungen, sich als vertretungsberechtigt auszugeben und den Vertragsnehmer eines Energieversorgungsvertrags zu ändern. Die von dem angeblichen Vertreter des Vertragsnehmers genannten personenbezogenen Daten des Betroffenen wurden daher vom Mitarbeiter der EDP Comercializadora, SA ungeprüft erfasst und zur weiteren Vertragsdurchführung genutzt. Die spanische Aufsichtsbehörde bewertete die Verarbeitung der personenbezogenen Daten des Betroffenen als unrechtmäßig, da kein Vertragsverhältnis zwischen dem Betroffenen und der EDP Comercializadora, SA bestehe. Es wurde ein Bußgeld in Höhe von 75.000 Euro verhängt. Zudem erhielt die EDP Comercializadora, SA die Auflage, eine geeignete Methode zur Identitätsfeststellung zu implementieren und damit die Integrität der verarbeiteten Daten besser zu schützen.

Um den seinen (zugriffsberechtigten) Kollegen den Zugang zu einem Wählerverzeichnis mit personenbezogenen Daten zu erleichtern, stellte ein Mitarbeiter einer Flughafen-Sicherheitsvereinigung die Liste in eine betriebsinterne WhatsApp Gruppe ein. Die Aufsichtsbehörde empfand der Schutzniveau der persönlichen Daten bei der Verbreitung über eine WhatsApp-Gruppe allerdings als unzureichend, da dort keine Kontrolle der Verarbeitung möglich ist. Ursprünglich betrug das Bußgeld 3.000 Euro, der Betrag wurde allerdings zweimal gesenkt.

Im Jahr 2013 hatten Anonymous-Hackern eine Datenbank einer Sektion der spanischen Polizeigewerkschaft, der Sindicat de Policies de Catalunya (SPC), gestohlen und die erbeuteten Daten anschließend veröffentlicht. Die spanische Datenschutzbehörde kam im Rahmen ihrer Untersuchungen zu dem Ergebnis, dass bei der Einrichtung der Datenbank die Schutzmaßnahmen, insbesondere die Zugriffskontrolle, unzureichend waren und dies ein schwerwiegendes Versäumnis darstellt.

Ungarn

Daten aus dem Reservierungssystem der Website eines ungarischen Reisevermittlers waren ungeschützt im Internet einsehbar und über Google auffindbar. Betroffen waren 309 Reisebuchungen von 781 Personen, die unter anderem Namen, Kontaktdaten, Kopien von Personenausweisen, Passnummern sowie Reise- und Buchungsdetails enthielten. Das Unternehmen unterließ es, regelmäßige Sicherheitsprüfungen durchzuführen, die Daten waren rund drei Monate ungeschützt abrufbar. Zudem wurden die Betroffenen nicht über die Datenpanne informiert.

Die ungarische Aufsichtsbehörde NAIH verhängte eine Geldbuße gegen eine Bank wegen Nichteinhaltung des Grundsatzes der Richtigkeit der DSGVO. Das Verfahren wurde auf Anfrage einer betroffenen Person eingeleitet, nachdem die Bank fälschlicherweise SMS-Nachrichten über die Kreditkartenschulden der betroffenen Person an die Telefonnummer einer anderen Person gesendet hatte.

Irland

Die irische Aufsichtsbehörde verhängte gegen einen Lehrerrat ein Bußgeld in Höhe von 60.000 Euro, nachdem es bei der Organisation in Folge eines Phishing-Angriffs zu einer Datenschutzverletzung kam. Da zwei Mitglieder des Rates eine Phishing-Mail öffneten, lösten sie eine automatische Weiterleitung ihrer E-Mail-Postfächer an einen nicht-autorisierten Account aus. Betroffen waren im Zeitraum vom 17.02.2020 bis 06.03.2020 323 E-Mails mit teilweise sensiblen Daten von 9.735 Personen. Nach Ansicht der Aufsichtsbehörde hatte die Organisation keine ausreichenden technischen und organisatorischen Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau der Daten sicherzustellen. Zudem hatte der Rat den Vorfall erst drei Wochen, nachdem eine Sicherheitswarnung bezüglich der Weiterleitung eingegangen war, an die zuständige Aufsichtsbehörde gemeldet.