VDAI verhängt 110.000 Euro Bußgeld gegen UAB „Prime Leasing“
Litauen: Bei UAB „Prime Leasing“ handelt es sich um den Betreiber des litauischen Car-Sharing-Dienstes CityBee. Das vorliegende Bußgeld steht mit Ermittlungen gegen das Unternehmen im Zusammenhang, welche die litauische Datenschutzbehörde initiiert hatte, nachdem ihr dieses im Februar 2021 gem. Art. 33 DSGVO eine Datenpanne gemeldet hatte.
Ein Cybersicherheitsdienstleister hatte Prime Leasing darüber verständigt, dass die Daten von 110.302 CityBee-Kunden im CSV-Format auf der Website RaidForums.com, einem von Hackern frequentierten Forum, geleaked worden waren. Der dort veröffentlichte Datensatz enthielt dabei die Passwörter der Betroffenen in maskierter Form sowie die folgenden Angaben in Klartext: Name, Adresse, Telefonnummer, E-Mail-Adresse, persönliche Identifikationsnummer, Führerscheinnummer, Art der Zahlungskarte und die letzten vier Ziffern der Kartennummer, das Ablaufdatum der Zahlungskarte und die Kennung des Nutzers im Zahlungssystem Braintree.
Wie Untersuchungen ergaben, entstammten die im Hacker-Forum veröffentlichten Daten dabei einer ungesicherten, extern zugänglichen BACPAC-Datenbank-Sicherungsdatei, welche seit dem 27.02.2018 existiert hatte und erst am 16.02.2021 gesichert worden war.
Die Datenschutzbehörde kam im Rahmen ihrer Ermittlungen zum Schluss, dass es zu der Datenpanne gekommen war, weil das Unternehmen seine Pflicht verletzt hatte, technische und organisatorische Maßnahmen zu implementieren, die ein dem Risiko für die Betroffenen angemessenes Sicherheitsniveau gewährleisten.
In diesem Zusammenhang stellte die Behörde eine Reihe von Versäumnissen aufseiten von UAB „Prime Leasing“ fest. So hatte der Bußgeldempfänger keine Person benannt, welche für die Gewährleistung der Sicherheit und das Risikomanagement verantwortlich war und hatte den Bereich der Cybersicherheit nicht hinreichend von dem der (allgemeinen) IT-Entwicklung und -Wartung getrennt. Des Weiteren hatte er nicht sichergestellt, dass die Zugriffe auf Datenbank-Dateien protokolliert und dabei ggf. durchgeführte Aktionen aufgezeichnet, überwacht und ausgewertet werden. Die vom Leck betroffene Datenbank-Datei war unverschlüsselt gespeichert und die in dieser hinterlegten persönlichen Codes nicht durch Hashing geschützt. Die in der Datei enthaltenen Passwörter der Betroffenen waren zwar verschlüsselt worden, allerdings war dafür der als unsicher geltende SHA-1-Verschlüsselungsalgorithmus verwendet worden, sodass versierte Angreifer die Verschlüsselung ohne großen Aufwand (z.B. durch online verfügbare Tools) überwinden konnten. Außerdem konnten Benutzer Passwörter verwenden, die nicht den Passwortanforderungen der IT-Sicherheitsrichtlinie des Unternehmens entsprachen. .
Veröffentlicht am: 30-11-2021
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.