Persónuvernd verhängt 23.585 Euro Bußgeld gegen InfoMentor ehf.

Island: Die isländische Datenschutzbehörde hatte Ermittlungen gegen das Unternehmen aufgenommen, nachdem dieses ihr am 15. Februar 2019 gem. Art. 33 DSGVO eine Datenpanne gemeldet hatte. Der Vorfall betraf das Online-System des Unternehmens, welches hauptsächlich von Schulen und anderen Einrichtungen, die mit Kindern arbeiten, zu Kommunikations- und Informationszwecken verwendet wird.
Am 14. Februar 2019 hatten zwei eingeloggte Nutzer unautorisiert auf die personenbezogenen Daten anderer Nutzer zugreifen können. Bei den Betroffenen handelte es sich um insgesamt 424 überwiegend minderjährige Schüler mehrerer isländischer und schwedischer Schulen. 
Im Rahmen ihrer Untersuchungen stellte die Behörde dabei fest, dass inadäquate technische und organisatorische Sicherheitsmaßnahmen auf Seiten des Anbieters zur Panne geführt hatten. So enthielten die Profil-URLs auf der Plattform spezifische, sechsstellige Codes, die vollständig sichtbar waren. Dadurch war es mittels Brute-Force-Methode möglich, die URLs so lange zu manipulieren, bis sie die richtige Zahlenkombination aufwiesen. Dabei prüfte die Webanwendung nicht, ob der zugreifende Benutzer für den Zugriff auf die jeweiligen Profile berechtigt war und zeigte die Profildaten ohne weitere Rückfrage an.
InfoMentor gab an, Kenntnis von dieser Sicherheitslücke gehabt und bereits eine entsprechende Lösung dafür entworfen zu haben. Aufgrund eines menschlichen Fehlers war es jedoch zu keiner rechtzeitigen Implementierung gekommen. .

Veröffentlicht am: 04-05-2021

Quelle von dsgvo-portal.de