Im Mai 2024 wurde erneut ein Bußgeld in Millionenhöhe wegen schwerer Datenschutzverstöße verhängt. Und das ausgerechnet gegen ein Unternehmen, das seine Kunden im Internet schützen soll.
1. Avast Software und Avast Limited: 13,9 Millionen Euro (Tschechien)
Die tschechische Datenschutzbehörde hat gegen das Unternehmen Avast Software mit Sitz in Prag (Tschechische Republik) und gegen das Unternehmen Avast Limited ein Bußgeld in Höhe von 13,9 Millionen Euro (351 Millionen CZK) erlassen. Die endgültige Entscheidung der zuständigen Aufsichtsbehörde erfolgte am 10. April 2024, die Veröffentlichung am 2. Mai 2024.
Ein anonymer Hinweis und Medienberichte Ende 2019 waren Auslöser für die Untersuchung.
Die tschechische Aufsichtsbehörde stellte fest, dass das Unternehmen personenbezogene Daten der Nutzer seiner Antivirensoftware und Browsererweiterungen ohne rechtmäßige Grundlage an sein Schwesterunternehmen übermittelt hatte. Die übermittelten Daten betrafen etwa 100 Millionen Nutzer und umfassten insbesondere pseudonymisierte Internet-Browserverläufe der Nutzer, die mit einer eindeutigen Kennung verknüpft waren. Darüber hinaus stellte die Aufsichtsbehörde fest, dass der für die Verarbeitung Verantwortliche seine Nutzer (die betroffenen Personen) über diese Datenübermittlungen falsch informiert hatte, indem er behauptete, die übermittelten Daten seien anonymisiert und würden ausschließlich für statistische Trendanalysen verwendet. Die LSA kam zu dem Schluss, dass Internet-Browsing-Verläufe, auch wenn sie nicht vollständig sind, personenbezogene Daten darstellen können, da eine Re-Identifizierung zumindest einiger der betroffenen Personen möglich ist. Das Fehlverhalten wiege umso schwerer, weil es bei dem Unternehmen um einen der führenden Experten für Cybersicherheit handele, der der Öffentlichkeit Werkzeuge zum Schutz der Daten und der Privatsphäre zur Verfügung stelle.
Quelle: The President of the Office for Personal Data Protection
2. Verkkokauppa.com: 856.000 Euro (Finnland)
Nach einer Beschwerde hat die finnische Aufsichtsbehörde die Aktivitäten des Online-Händlers Verkkokauppa.com untersucht. Das Unternehmen verlangte von seinen Kunden sich zu registrieren, bevor Online-Käufe getätigt werden konnten. Einkäufe im Online-Shop waren ohne die Erstellung eines Kundenkontos nicht möglich.
Bei der Überprüfung des Unternehmens stellte sich heraus, dass die Daten der Kundenkonten des Online-Shops auf unbestimmte Zeit gespeichert wurden. Auch erfolgte keine Angabe der Speicherfrist für die Daten, die gesammelt wurden.
Darüber hinaus verstieß die Praxis, die Erstellung eines Kundenkontos für Online-Käufe zu verlangen, gegen das Datenschutzrecht. Das Erstellen eines Kundenkontos oder die Speicherung von personenbezogenen Daten, die durch diese Erstellung entstehen, dürfen keine Voraussetzung für den Abschluss einzelner Online-Käufe sein.
Die finnische Aufsichtsbehörde verhängte mit Entscheidung vom 6. März 2024 ein Bußgeld in Höhe von 856.000 Euro gegen Verkkokauppa.com, weil es keine Speicherfrist für die Daten der Kundenkonten festgelegt hatte. Ferner wurde das Unternehmen aufgefordert, die Praxis der notwendigen Registrierung für Online-Käufe zu korrigieren. Die Entscheidung wurde am 8. Mai veröffentlicht.
3. Griechisches Innenministerium: 400.000 Euro
Die griechische Datenschutzbehörde hat bei einer Untersuchung festgestellt, dass die Europaabgeordnete Anna-Michelle Asimakopoulou ohne Erlaubnis politische E-Mails an griechische Wähler im Ausland versandt hat. Die E-Mail-Adressen stammten aus einem Register des Innenministeriums, das für die Wahlen 2023 erstellt worden war. Es gab 236 Beschwerden, dass Asimakopoulou unerwünschte politische Nachrichten verschickt habe. Außerdem 66 Beschwerden gegen das Innenministerium wegen der Weitergabe dieser Adressen.
Die Untersuchung der Aufsichtsbehörde ergab, dass Asimakopoulou eine Liste mit 25.538 E-Mail-Adressen verwendete, von denen 23.392 mit denen des Innenministeriums übereinstimmten. Die Adressen waren nicht ordnungsgemäß gesichert, die Bearbeitung erfolgte ohne ausreichende Schutzmaßnahmen.
Die griechische Datenschutzbehörde erließ deswegen am 27.05.2024 ein Bußgeld in Höhe von 400.000 Euro gegen das Innenministerium und empfahl Maßnahmen zur Verbesserung der Datensicherheit. Außerdem forderte die Aufsichtsbehörde das Innenministerium auf, die Einhaltung der Datenschutzbestimmungen sicherzustellen.
Gegen die Abgeordnete Anna-Michelle Asimakopoulou wurde ein Bußgeldbescheid in Höhe von 40.000 Euro erlassen.
Quelle: Bußgeldbescheid
4. 4Finance Spain Financial Services, S.A.U.: 360.000 Euro (Spanien)
Die spanische Datenschutzbehörde (AEPD) hat ein Bußgeldverfahren gegen 4Finance Spain Financial Services eingeleitet, nachdem am 17. Februar 2023 eine Sicherheitsverletzung gemeldet wurde.
Die Untersuchung ergab, dass Angreifer mit gestohlenen Anmeldedaten auf Kundenkonten zugegriffen und betrügerische Kreditanträge gestellt hatten. Der Zugang zu den Daten wurde durch Brute-Force-Angriffe und Credential Stuffing erlangt. Insgesamt waren 9.497 Kundinnen und Kunden betroffen, deren persönliche und finanzielle Daten durch den unbefugten Zugriff gefährdet wurden.
Darüber hinaus stellte sich heraus, dass das Unternehmen die Datenschutzverletzung nicht unverzüglich der AEPD oder den Betroffenen gemeldet hatte, obwohl dies nach Artikel 33 und 34 der Datenschutz-Grundverordnung (DSGVO) erforderlich gewesen wäre. Erst auf Anordnung der AEPD informierte das Unternehmen am 11. April 2023 die betroffenen Kundinnen und Kunden über den Vorfall.
Nach dem Vorfall führte 4Finance Spain Financial Services zusätzliche Sicherheitsmaßnahmen ein, darunter die Einführung einer Zwei-Faktor-Authentifizierung (2FA), um künftige Angriffe zu verhindern.
Die ursprünglich verhängte Geldbuße in Höhe von 600.000 Euro wurde aufgrund des Schuldeingeständnisses mit Bescheid vom 8. April 2024 auf 360.000 Euro reduziert. Der Beschluss wurde am 8. Mai 2024 veröffentlicht.
Quelle: Bußgeldbescheid der AEPD
5. Vodafone España: 200.000 Euro (Spanien)
Aufgrund der Beschwerde eines Kunden hat die spanische Datenschutzbehörde (AEPD) ein Sanktionsverfahren gegen Vodafone España, S.A.U. eingeleitet. Der Kunde hatte am 14. Januar 2022 eine SMS erhalten, in der ein Wechsel des Vertragsinhabers ohne seine Zustimmung angekündigt wurde. Vodafone bestätigte, dass der Wechsel in betrügerischer Weise in einem Geschäft in Rubí (Barcelona) vorgenommen worden war.
Der Telefonkonzern gab an, dass der Betrug von einem Dritten begangen wurde, der die persönlichen Daten des Kunden erhalten und für mehrere betrügerische Vertragsabschlüsse verwendet hatte. Nach einer Untersuchung stellte Vodafone fest, dass der Betrug durch gefälschte Ausweispapiere und unzureichende Identitätsprüfungen in mehreren Geschäften in Barcelona und Valencia ermöglicht wurde.
Vodafone ergriff Maßnahmen, um die betrügerischen Verträge zu kündigen, erstattete dem Kunden die entstandenen Kosten und fügte den Kunden der internen Liste der Betrugsopfer hinzu, um zukünftige Vorfälle zu verhindern.
Die AEPD stellte jedoch fest, dass Vodafone keine ausreichenden Maßnahmen ergriffen hatte, um derartige Betrugsfälle zu verhindern. Außerdem waren die Sicherheitsmaßnahmen unzureichend, um die Identität der Kunden bei Vertragsabschluss ordnungsgemäß zu überprüfen.
Die AEPD empfahl eine Überarbeitung der Sicherheitsprotokolle von Vodafone und verhängte eine Geldbuße in Höhe von 200 000 EUR wegen Verstoßes gegen Artikel 6 Absatz 1 der DSGVO. Vodafone hat es laut der Aufsichtsbehörde versäumt, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu gewährleisten.
Quelle: Bußgeldbescheid der AEPD