UODO verhängt 340.788 Euro Bußgeld gegen Virgin Mobile Polska Sp. z o.o. / P4 SP. z. o.o.

Polen: Bei dem Verantwortlichen handelt es sich um einen Anbieter von Telekommunikationsdienstleistungen. Aufgrund gesetzlicher Vorgaben ist das Unternehmen bzgl. der Registrierung von SIM-Karten zur Speicherung der personenbezogenen Daten der Kunden verpflichtet und verarbeitet diese darüberhinausgehend zur Erfüllung des mit den Kunden geschlossenen Telekommunikationsvertrags.
Die Behörde verhängte das Bußgeld, da es als Folge inadäquater Sicherheitsmaßnahmen auf Seiten des Verantwortlichen zu einer Datenpanne kam, die es unbefugten Dritten ermöglichte, auf die bei Virgin Mobile Polska gespeicherten personenbezogenen Daten der Betroffenen zuzugreifen. Das Unternehmen hatte keine regelmäßige Risikoanalyse und keine regelmäßigen Tests der Wirksamkeit organisatorischer und technischer Schutzmaßnahmen zur Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten durchgeführt.
Konkret hatte es eine Schwachstelle in der vom Verantwortlichen verwendeten Anwendung zur Ausgabe von Bestätigungen von SIM-Karten-Registrierungen gegeben. Diese ermöglichte es durch eine Veränderung bestimmter Parameter, sich die Registrierungen anderer Personen ausgeben zu lassen und so auf deren personenbezogenen Daten zuzugreifen. Obwohl der Verantwortliche nach ISO/IEC 27001:2013, ISO/IEC 27701:20 19 und ISO/IEC 27002:2013 zertifiziert war, hatte er es versäumt, diese Anwendung einem Penetrationstest zu unterziehen. Zum Nachweis der Rechenschaftspflicht erwartet die Aufsichtsbehörde eine Terminplanung für die Durchführung von Penetrationstests.
Nachtrag vom 09.12.2022:
Nachdem das Unternehmen, bzw. dessen Rechtsnachfolger P4 SP. z. o.o., Rechtsmittel gegen die Entscheidung eingelegt hatte, reduzierte das Verwaltungsgericht Warschau das Bußgeld von ursprünglich 1.968.524 PLN (ca. 440.061 EUR) auf 1.600.000 PLN (ca. 340.788 EUR). .

Veröffentlicht am: 14-12-2020

Quelle von dsgvo-portal.de