AEPD verhängt 6.100.000 Euro Bußgeld gegen ENDESA ENERGÍA, S.A.U.AEPD verhängt 6.100.000 Euro Bußgeld gegen ENDESA ENERGÍA, S.A.U.
Spanien: Im August 2021 wurde das Energieerzeugungs- und Energieversorgungsunternehmen intern darauf aufmerksam gemacht, dass auf Facebook Anzeigen, welche Zugangsdaten zu einer Datenbank von Endeas zum Verkauf anboten, geschaltet wurden. Jedoch wurde erst im Februar 20222 festgestellt, dass personenbezogene Kundendaten kompromittiert wurden und anschließend die Datenschutzbehörde informiert.
Es stellte sich heraus, dass ehemalige Mitarbeiter eines von Endesa engagierten Subunternehmens, Empresa, die Zugangsdaten auf Facebook verkauft hatten.
Die AEPD kritisierte, dass Endesa die Zugangsdaten erst über einen Monat, nachdem es über deren Kompromittierung informiert wurde, zurücksetzte. Das Unternehme hätte automatisch alle Zugangsdaten der Benutzer der Tools zurücksetzten müssen. Außerdem wurde der Modus, dass mehrere Personen gleichzeitig über einen Benutzer aktiv sein konnten, nicht deaktiviert. Weiterhin wurde die Aktivität der Nutzer nicht aufgezeichnet. Aufgrund dieser mangelhaften Sicherheitsvorkehrungen konnten Dritte über Monate hinweg auf die Datenbank zugreifen.
Endesa gab an, dass somit auf technische Daten zu rund 30,6 Millionen Energieversorgunspunkten und 8,6 Millionen Gasversorgungspunkten zugegriffen werden konnte. Außerdem wurde die Vertraulichkeit der personenbezogenen Daten von 4,8 Millionen Strom- und 1,2 Millionen Gaskunden zerstört. Unbefugte Dritte konnten Namen, Eigentümer der Versorgungspunkte, Personalausweis- und Vertragsnummern, Wohnadressen, Universal Supply Point Codes (CUPS), finanzielle Daten inklusive von Schulden abrufen. In ihrer Meldung an die AEPD gab Endesa an, dass 1.000 Personen von der Datenschutzverletzung betroffen waren und diese jedoch nicht informiert wurden, da für sie kein hohes Risiko bestände. Jedoch war sich das Unternehmen darüber bewusst, dass betrügerische Dritte bereits Verträge im Namen von Betroffenen abgeschlossen hatten.
Die AEPD kritisierte außerdem das Vorgehen bezüglich der Facebook-Beiträge. Endesa hatte FACEBOOK SPAIN mit der Anfrage zur Löschung der betrügerischen Anzeigen kontaktiert. Dieses Unternehmen wies darauf hin, dass nur FACEBOOK IRELAND LIMITED für solche Maßnahmen zuständig war. Trotzdem konnte das Energieunternehmen nicht nachweisen, dass es seine Anfrage an FACEBOOK IRELAND LIMITED weitergeleitet hatte. .
Veröffentlicht am: 12-02-2024
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.
ANSPDCP verhängt 1.997 Euro Bußgeld gegen Account Exchange SRL