Die polnische Datenschutzaufsicht UODO (Urząd Ochrony Danych Osobowych) hat wegen Verletzung der Umsetzung angemessener technischer und organisatorischer Maßnahmen sowie fehlender Nachweisbarkeit von einzuholenden Einwilligungen zur Datenverarbeitung ein Bußgeld in Höhe von umgerechnet EUR 660.000,00 gegen das Unternehmen Morele.net Sp. z o. o. verhängt. Das Unternehmen mit Hauptsitz in Krakau betreibt diverse Online-Shops und speichert die Kundendaten in einer zentralen Datenbank. Betroffen sind laut UODO 2,2 Mio. Kunden.
Sachverhalt
Hintergrund des Bußgelds waren u.a. zwei Vorfälle Ende 2018. Unbefugte hatten sich Zugang zur Kundendatenbank des Unternehmens und den darin befindlichen personenbezogenen Daten der Kunden beschafft. Kenntnis darüber erlangte das Unternehmen von ihren Kunden selbst, denn diese hatten SMS erhalten, dass eine zusätzliche Gebühr i.H.v. PLN 1 zur Erfüllung ihrer Bestellung erforderlich sei.
Das Unternehmen meldete den unbefugten Zugang zu ihrer Kundendatenbank gegenüber der polnischen Datenschutzaufsicht. Dabei gab es an, dass bei insg. 35.000 Kunden darüber hinaus auch ein Zugriff auf Daten zu Ratenzahlungsverträgen erfolgt war. Dies betraf u.a. Informationen zur Seriennummer der Ausweise, monatliche Nettoeinkommen, Familienstand und Unterhaltsverpflichtungen.
Zusätzlich wurden insg. 2,2 Mio. betroffene Kunden über die Verletzung informiert.
Verletzung der Vertraulichkeit
Die polnische Aufsichtsbehörde wirft dem Unternehmen vor, gegen Art. 5 Abs. 1 lit. f, 24 Abs. 1, 25 Abs. 1, 32 Abs. 1 lit. b, d, f DSGVO verstoßen zu haben, indem es unwirksame technische und organisatorische Maßnahmen auf der Ebene der Zugangskontrolle und Authentifizierung („dostęp i uwierzytelnianie„) gewählt habe. Hierzu führt die Datenschutzaufsicht aus, dass es sich um wesentliche Sicherheitsmaßnahmen handele, um den unbefugten Zugriff auf ein Informationssystem zur Verarbeitung personenbezogener Daten zu verhindern – natürlich unter Berücksichtigung des Stands der Technik. Diesbezüglich verweist die Datenschutzaufsicht auf die Empfehlungen der ENISA (Europäischen Agentur für Netz- und Informationssicherheit), die OWASP Foundation und das NIST (National Institute of Standards and Technology), die einen zweistufigen Authentifizierungsmechanismus für Systeme mit Zugang zu personenbezogenen Daten empfehlen.
Ferner sei der Auswahl des Authentifizierungsmechanismus stets eine adäquate Risikoanalyse mit entsprechender Schutzbedarfsfeststellung vorweg zu nehmen. Dem sei das Unternehmen nicht hinreichend nachgekommen. Dem Unternehmen hätten die Risiken hinsichtlich Phising jedoch hinreichend bekannt sein müssen, da die CERT Polska bereits in ihren Jahresberichten aus 2016 bis 2018 darauf hinwiesen habe.
Verletzung der Rechtsmäßigkeit und Rechenschaftspflicht
Zusätzlich wirft die polnische Datenschutzaufsicht dem Unternehmen vor, gegen Art. 5 Abs. 1 lit. a, Abs. 2, 6 Abs. 1 lit. a, 7 Abs. 1 DSGVO verstoßen zu haben, indem es nicht in der Lage war nachzuweisen, dass es (soweit notwendig) Einwilligungen betroffener Personen in die Verarbeitung der Daten aus den Ratenzahlungsverträgen eingeholt habe. Die Datenschutzaufsicht vermisste hierbei folgende Informationen: Inhalt der Einwilligung, Datum der Erteilung, beiliegende Datenschutzinformationen, etwaiger Widerruf der Einwilligung. Ferner hatte das Unternehmen im Dezember 2018, nach erfolgter Risikoanalyse, die entsprechenden Daten zu den Ratenzahlungsverträgen aus der Datenbank gelöscht, laut Datenschutzaufsicht die Löschung jedoch nicht ausreichend dokumentiert.
Bemessung des Bußgeldes
Bei der Bemessung des Bußgeldes spielt insbesondere der Umfang der Verletzung (2,2 Mio. Kunden) sowie die Tatsache, dass das Unternehmen personenbezogene Daten im Rahmen seiner Geschäftstätigkeit professionell verarbeitet und damit einen höheren Sicherheitsmaßstab anzusetzen hat eine entscheidende Rolle.
Es wurden jedoch auch mildernde Umstände berücksichtigt, wie die gute und kooperative Zusammenarbeit mit der Aufsichtsbehörde, dass keine vorherigen feststellbaren Verstöße gegen die DSGVO vorlagen und auch keine feststellbaren finanziellen Vorteile des Unternehmens in den Verstößen zu finden waren.
Die Entscheidung ist noch nicht rechtskräftig. Das Unternehmen hat angekündigt, gegen das Bußgeld vorzugehen.
Fazit
Der Fall zeigt, dass die Auswahl der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten stets auf Grundlage einer risikobasierten Schutzbedarfsprüfung erfolgen sollte. Ferner zeigt es wieder einmal, dass die Rechenschaftspflicht der DSGVO nicht auf die leichte Schulter zu nehmen ist. Können die erforderlichen Nachweise nicht erbracht werden, geht dies zu Lasten des Unternehmens.
Wie immer scheint sich jedoch eine gute Zusammenarbeit mit der Aufsichtsbehörde auszuzahlen, jedenfalls wird dies dem Unternehmen als mildernder Umstand zu Gute gehalten. Eine entsprechende Kooperation mit Aufsichtsbehörden sollte daher mittlerweile zum guten Ton gehören.