DSFA

Das Warten hat ein Ende
Ailance™ DSFA ist da!
Mehr erfahren

Top 5 Bußgelder im Juni 2025: Zwei Millionen-Strafen wegen “Credential Stuffing”-Attacken

G:leich zwei Bußgelder wurden im Juni 2025 wegen Credential Stuffing Attacken verhängt.
Kategorien:

Das höchste Bußgeld wurde im Juni 2025 in Deutschland gegen Vodafone verhängt. Auffällig: Gleich zwei Millionen-Bußgelder ergingen in Spanien und Großbritannien wegen Datenpannen, bei denen die Angreifer über Credential Stuffing unberechtigten Zugriff auf Daten erlangten. Und in Irland wurde das Ministerium für Soziales mit einem vergleichsweise hohen Bußgeld bestraft. Im Gegensatz zu anderen Ländern ist in Irland die Verhängung von Bußgeldern gegen Behörden möglich und diese werden auch nicht in der Höhe gedeckelt.

Vodafone: 45 Millionen Euro (Deutschland)

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat gegen die Vodafone GmbH zwei Geldbußen in Höhe von insgesamt 45 Millionen Euro verhängt.

Eine Geldbuße von 15 Millionen Euro wurde verhängt, weil der Mobilfunkanbieter Vodafone seine Partneragenturen, die im Auftrag des Unternehmens Verträge mit Kunden abschließen, nicht ausreichend überprüft und überwacht hatte. Dies führte zu Betrugsfällen, bei denen Kunden durch fingierte Verträge oder Vertragsänderungen geschädigt wurden.

Zusätzlich wurde eine Geldbuße von 30 Millionen Euro wegen Sicherheitsmängeln im Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ und der Vodafone-Hotline verhängt. Diese Mängel ermöglichten unbefugten Dritten den Zugriff auf eSIM-Profile von Kunden.

Vodafone hat auf die Vorwürfe reagiert, indem das Unternehmen seine Prozesse und Systeme verbessert und teilweise vollständig ersetzt hat. So sollen zukünftig Risiken minimiert werden. Zudem wurden die Auswahl- und Prüfprozesse für Partneragenturen überarbeitet. Schließlich kam es auch zur Trennung von Partnern, bei denen Betrugsfälle festgestellt wurden. Die BfDI plant, die Wirksamkeit dieser Maßnahmen in einer Folgekontrolle zu überprüfen.

Lese-Tipp: BfDI verhängt gegen Vodafone Bußgelder in Höhe von 45 Millionen Euro

Quelle: Pressemittelung „BfDI verhängt Geldbußen gegen Vodafone“ vom 3. Juni 2025

Carrefour: 3,2 Millionen Euro (Spanien)

Die spanische Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) hat gegen die Supermarktkette Carrefour Spanien ein Bußgeld in Höhe von insgesamt 3,2 Millionen Euro verhängt. Grund dafür sind mehrere Datenschutzverstöße im Zusammenhang mit fünf aufeinanderfolgenden Datenpannen im Zeitraum von Oktober 2022 bis September 2023. Die Sicherheitsvorfälle betrafen insgesamt 118.895 Kundenkonten, bei denen Angreifer über sogenanntes Credential Stuffing unberechtigten Zugriff erlangten. Dabei wurden unter anderem Namen, Adressen, Geburtsdaten, Ausweisdaten und Kontaktdaten kompromittiert.

Die AEPD stellt fest, dass Carrefour unzureichende technische und organisatorische Maßnahmen nach Artikel 32 DSGVO getroffen hat, um solche Angriffe zu verhindern. Außerdem habe das Unternehmen gegen den Grundsatz der Integrität und Vertraulichkeit nach Artikel 5 Abs. 1 lit. f DSGVO verstoßen; in Teilen auch gegen die Pflicht zur Benachrichtigung der betroffenen Personen gemäß Artikel 34 DSGVO.

Carrefour hatte zwar selbst alle fünf Vorfälle der AEPD gemeldet. Die Aufsichtsbehörde wirft dem Unternehmen aber vor, zu spät und unvollständig reagiert zu haben, insbesondere bei der Information der Betroffenen über die ersten drei Sicherheitsvorfälle.

Die konkrete Bußgeldaufteilung lautet:

  • 2 Mio. Euro wegen Verstoßes gegen Artikel 5 Abs. 1 lit. f DSGVO (Integrität und Vertraulichkeit)
  • 1 Mio. Euro wegen Verstoßes gegen Artikel 32 DSGVO (Datensicherheit)
  • 200.000 Euro wegen Verstoßes gegen Artikel 34 DSGVO (Benachrichtigung der Betroffenen)

Carrefour hatte in Teilen die Verantwortung für die mangelhafte Benachrichtigung eingeräumt, aber die übrigen Vorwürfe bestritten. Die AEPD ließ diese Einwände jedoch nicht gelten und stellte fest, dass die umgesetzten Sicherheitsmaßnahmen weder ausreichend noch rechtzeitig waren.

Quelle: Bußgeldbescheid der AEPD gegen Carrefour

23andMe: 2,31 Millionen Pfund (Großbritannien)

Die britische Datenschutzbehörde ICO (Information Commissioner’s Office) hat das US-amerikanische Gendiagnostik-Unternehmen 23andMe mit einer Geldstrafe von 2,31 Millionen Pfund (rund 2,7 Millionen Euro) belegt. Grund: Bei einem groß angelegten Cyberangriff im Jahr 2023 wurden sensible Daten von 155.592 britischen Nutzern kompromittiert. Der Angriff nutzte sogenannte Credential-Stuffing-Techniken aus, bei denen gestohlene Zugangsdaten aus früheren, nicht verwandten Datenlecks verwendet wurden, um sich unbefugt Zugang zu Benutzerkonten zu verschaffen. Dabei wurden persönliche Informationen wie Namen, Geburtsjahre, Wohnorte, Profilbilder, ethnische Zugehörigkeit, Familienstammbäume und Gesundheitsberichte offengelegt.

Die ICO stellte fest, dass 23andMe keine angemessenen Sicherheitsmaßnahmen implementiert hatte, um solche Angriffe zu verhindern. Insbesondere fehlten zusätzliche Verifizierungsschritte für den Zugriff auf und das Herunterladen von Rohdaten der genetischen Informationen. Zudem reagierte das Unternehmen langsam auf Warnsignale: Obwohl der Angriff bereits im April 2023 begann, wurde eine umfassende Untersuchung erst im Oktober 2023 eingeleitet, nachdem ein Mitarbeiter entdeckte, dass gestohlene Daten auf Reddit zum Verkauf angeboten wurden.

Die Untersuchung wurde gemeinsam mit dem kanadischen Datenschutzbeauftragten durchgeführt. Sie unterstreicht die Bedeutung internationaler Zusammenarbeit im Datenschutz. Die ICO betonte, dass der Schutz sensibler persönlicher Daten, insbesondere genetischer Informationen, höchste Priorität haben müsse und dass Unternehmen verpflichtet seien, angemessene Sicherheitsvorkehrungen zu treffen, um solche Daten zu schützen.

Quelle: Pressemitteilung des Information Commissioner’s Office vom 17. Juni 2025

Yliopiston Apteekki: 1,1 Millionen Euro (Finnland)

Die finnische Datenschutzbehörde Tietosuojavaltuutetun toimisto hat der Apothekenkette Yliopiston Apteekki eine Geldstrafe von 1,1 Millionen Euro auferlegt. Das Unternehmen setzte zwischen Mai 2018 und September 2022 in seinem Online-Shop Tracking-Technologien wie Cookies und Analyse-Tools eins, durch die sensible Kundendaten an Drittanbieter wie Google und Meta weitergeleitet wurden. Diese Daten umfassten Informationen über das Hinzufügen von Medikamenten zum Warenkorb, das Klicken auf den Bestellbutton sowie IP-Adressen und andere identifizierende Merkmale. Insbesondere wenn Kunden während des Besuchs im Online-Shop bei ihren Google- oder Facebook-Konten angemeldet waren, konnten diese Drittanbieter die Nutzer direkt identifizieren.

Die Untersuchung wurde eingeleitet, nachdem ein Doktorand der Universität Turku auf Datenschutzmängel in finnischen Online-Apotheken hingewiesen hatte. Yliopiston Apteekki hat die Nutzung von Google- und Meta-Tracking-Technologien im September 2022 eingestellt, beabsichtigt jedoch, gegen die Entscheidung der Datenschutzbehörde vor dem Verwaltungsgericht Berufung einzulegen.

Die Datenschutzbehörde betonte die besondere Sensibilität von Gesundheitsdaten und die Notwendigkeit angemessener Schutzmaßnahmen, um das Vertrauen der Kunden in Online-Apotheken zu gewährleisten.

Quelle: Pressemitteilung der finnischen Datenschutzbehörde Tietosuojavaltuutetun toimisto vom 4. Juni 2025

Department of Social Protection: 550.000 Euro (Irland)

Die irische Datenschutzbehörde (Data Protection Commission, DPC) hat am 12. Juni 2025 ihre Untersuchung zur Verwendung von Gesichtserkennungstechnologie im Rahmen der SAFE 2-Registrierung für die Public Services Card (PSC) durch das Department of Social Protection (DSP) abgeschlossen. Die Untersuchung, die im Juli 2021 begann, konzentrierte sich auf die Verarbeitung biometrischer Gesichtsdaten und den Einsatz entsprechender Technologien während des Registrierungsprozesses.

Die DPC stellte fest, dass das DSP mehrere Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verletzt hat:

  • Artikel 5(1)(a), 6(1) und 9(1): Das DSP konnte keine gültige rechtliche Grundlage für die Erhebung biometrischer Daten im Zusammenhang mit der SAFE 2-Registrierung nachweisen.ie
  • Artikel 5(1)(e): Aufgrund des fehlenden rechtlichen Fundaments war auch die Speicherung dieser Daten unrechtmäßig.
  • Artikel 13(1)(c) und 13(2)(a): Die Informationspflichten gegenüber den betroffenen Personen wurden nicht ausreichend erfüllt.
  • Artikel 35(7)(b) und (c): Die durchgeführte Datenschutz-Folgenabschätzung war unvollständig.

Infolgedessen verhängte die DPC eine Geldstrafe von insgesamt 550.000 Euro gegen das DSP und ordnete an, die Verarbeitung biometrischer Daten im Rahmen der SAFE 2-Registrierung innerhalb von neun Monaten einzustellen, sofern keine gültige rechtliche Grundlage nachgewiesen werden kann.

Die DPC betonte, dass ihre Feststellungen keine Aussage über die grundsätzliche Einführung der SAFE 2-Registrierung treffen, sondern sich ausschließlich auf die Einhaltung datenschutzrechtlicher Anforderungen beziehen.

Quelle: Pressemitteilung der DPC vom 12. Juni 2025

Kontakt aufnehmen
Tags:
, , , , , , , , , ,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge

de_DEGerman
en_USEnglish it_ITItalian fr_FRFrench de_DEGerman