Datatilsynet verhängt 409.656 Euro Bußgeld gegen Gemeinde Østre Toten

Norwegen: Das vorliegende Bußgeld steht mit einer Datenpanne im Zusammenhang, welche die norwegische Gemeinde Østre Toten der norwegischen Datenschutzbehörde gem. Art. 33 DSGVO gemeldet hatte. In der Nacht zum 9. Januar 2021 wurden die IT-Systeme der Gemeinde Ziel eines umfassenden Ransomware-Angriffs. Dabei wurden die in den Systemen gespeicherten Daten von den Angreifern kopiert und verschlüsselt sowie existierende Sicherheitskopien gelöscht. 
Ca. 30.000 Dokumente von Einwohnern und Beschäftigten der Gemeinde waren hiervon betroffen. Diese enthielten mitunter Informationen zur Ethnie, der politischen Einstellung, Religionszugehörigkeit, Gewerkschaftsmitgliedschaft, sexuellen Orientierung, dem Gesundheitszustand und dem Bildungsgrad der Betroffenen sowie deren nationale ID (fødselsnummer), MinID-Anmeldedaten (MinID ist ein elektronisches Sicherungssystem im norwegischen öffentlichen Sektor) und Kontonummer. Etwa 2.000 der Dokumente wurden von den Angreifern anschließend im Dark Web veröffentlicht.
Wie die Datenschutzbehörde feststellte, hatten defizitäre Sicherheitsmaßnahmen aufseiten der Gemeinde zur Schwere des Vorfalls beigetragen. So hatte die Gemeinde über keine zufriedenstellenden Backup- und Protokollierungssysteme verfügt und bei der Anmeldung in ihre Systeme keine Zwei-Faktor-Authentisierung verwendet. Dies wertete die Behörde als eine Verletzung der Pflicht des Bußgeldempfängers, technische und organisatorische Maßnahmen zu implementieren, die ein dem Risiko für die Betroffenen angemessenes Sicherheitsniveau gewährleisten. .

Veröffentlicht am: 20-10-2021

Quelle von dsgvo-portal.de