UODO verhängt 1.085.970 Euro Bußgeld gegen Fortum Marketing and Sales Polska S.A.
Polen: Der vorliegende Bußgeldbescheid steht mit einer Datenpanne im Zusammenhang, welche Fortum Marketing and Sales Polska S.A. der polnischen Datenschutzbehörde gem. Art. 33 DSGVO gemeldet hatte.
Unbefugte Dritte hatten Daten von Kunden des Bußgeldempfängers abgeschöpft, nachdem zuvor der Auftragsverarbeiter PIKA Sp. Z o.o. Änderungen an der IT-Umgebung des Unternehmens vorgenommen hatte. Im Zuge der Änderungen wurde u.a. eine zusätzliche Kundendatenbank angelegt. Der Server, auf dem sie sich befand, verfügte jedoch über keine ordnungsgemäßen Sicherheitsmaßnahmen, sodass die Datenbank frei zugänglich war und von den Unbefugten auf einfache Weise kopiert werden konnte.
Wie die Untersuchungen der Datenschutzbehörde ergaben, war die Datenbank sofort mit echten Kundendaten in Betrieb genommen worden, anstatt die Sicherheitsmaßnahmen zunächst mit Dummy-Daten zu testen. Des Weiteren hatte PIKA die in der Datenbank gespeicherten Daten weder verschlüsselt noch pseudonymisiert. Damit hatte PIKA sowohl die eigenen Sicherheitsrichtlinien verletzt als auch den im Vertrag über Auftragsverarbeitung mit Fortum spezifizierten Sicherheitsanforderungen nicht entsprochen.
Fortum Marketing and Sales Polska S.A. war nicht von PIKA Sp. Z o.o. über den Vorfall informiert worden. Vielmehr erfuhr der Bußgeldempfänger von der Panne durch zwei Internetnutzer, die das Unternehmen kontaktiert hatten, weil sie auf die Datenbank zugreifen konnten.
Die Behörde erkannte in dem Vorfall eine Verletzung der Pflicht von Fortum, technische und organisatorische Maßnahmen zu implementieren, die ein dem Risiko für die Betroffenen angemessenes Sicherheitsniveau gewährleisten. Damit einhergehend hatte das Unternehmen nach Auffassung der Behörde gegen seine Pflicht als Verantwortlicher verstoßen, seinen Auftragsverarbeiter PIKA auf die Umsetzung geeigneter Sicherheitsmaßnahmen zu überprüfen. Hierbei betonte die Behörde, dass der Verantwortliche verpflichtet ist, die Wirksamkeit von technischen und organisatorischen Maßnahmen regelmäßig zu kontrollieren. Sicherheitsmaßnahmen sollten nicht nur einmalig eingeführt, sondern in einem fortlaufenden Prozess evaluiert und ggf. angepasst werden.
Bei der Sanktion handelt es sich mit umgerechnet ca. 1.085.970 EUR um das bis dato höchste in Polen auf Grundlage der DSGVO verhängte Bußgeld. Gegen PIKA Sp. Z o.o. wurde im selben Verfahren ein Bußgeld in Höhe von 250.135 PLN (ca. 55.304 EUR) verhängt. .
Veröffentlicht am: 01-03-2022
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.