CNIL verhängt 180.000 Euro Bußgeld gegen SLIMPAY
Frankreich: Bei SLIMPAY handelt es sich um einen Zahlungsdienstleister, der für Händler Services für wiederkehrende SEPA-Zahlungen anbietet. Dafür verarbeitet das Unternehmen u.a. personenbezogene Daten der Schuldner seiner Kunden. Das vorliegende Bußgeld steht mit einer Datenpanne aufseiten des Bußgeldempfängers im Zusammenhang.
Im Sommer 2015 hatte SLIMPAY mit der Umsetzung eines Forschungsprojekts zur Entwicklung eines Antibetrugsmechanismus begonnen. Dafür waren die Daten von Schuldnern von SLIMPAY-Kunden zu Testzwecken verwendet worden. Im Zuge dessen waren diese aus der Datenbank des Unternehmens auf einen eigenen gesonderten Server kopiert worden. Nachdem das Projekt im Juli 2016 beendet worden war, blieben die Daten weiterhin auf diesem Server gespeichert. Dabei waren seitens des Bußgeldempfängers keinerlei Sicherheitsmaßnahmen zur Sicherung der Daten getroffenen worden, sodass sie frei online zugänglich waren. Erst nachdem SLIMPAY am 14. Februar 2020 von einem Händler auf das Leck aufmerksam gemacht worden war, wurde es geschlossen. Bei den so exponierten Daten handelte es sich mitunter um die Namen, postalischen und E-Mail-Adressen, Telefonnummern und Bankdaten von ca. 12.478.819 Schuldnern.
Vor diesem Hintergrund stellte die französische Datenschutzbehörde CNIL fest, dass SLIMPAY seine Pflicht verletzt hatte, technische und organisatorische Maßnahmen zu implementieren, die ein dem Risiko für die Betroffenen angemessenes Sicherheitsniveau gewährleisten.
Des Weiteren hatte der Bußgeldempfänger die Datenpanne zwar am 17. Februar 2020 der CNIL, jedoch nicht den Betroffenen gemeldet. Aufgrund des hohen Risikos, welches angesichts der exponierten Daten für die Betroffenen bestand, hätten diese jedoch ebenso über den Vorfall informiert werden müssen.
Wie die CNIL außerdem im Rahmen ihrer Ermittlungen feststellte, waren in mehreren Fällen Verträge, die SLIMPAY mit Auftragsverarbeitern geschlossen hatte, inadäquat gestaltet, da sie einige vorgesehene Klauseln, welche die Auftragsverarbeiter dazu verpflichten, personenbezogene Daten nach den Vorgaben der DSGVO zu verarbeiten, nicht enthielten. .
Veröffentlicht am: 03-01-2022
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.