1. Home
  2. Geldbuße sowohl gegen...
DataAgenda

Geldbuße sowohl gegen Verantwortlichen als auch Auftragsverarbeiter

CNIL Geldbuße

Die Comission Nationale de l’informatique et des libertés, die französische Datenschutzbehörde (‘CNIL’), hat Ende Januar 2021 wegen Verstößen gegen Art. 32 DS-GVO ein Bußgeld sowohl gegen den Verantwortlichen als auch den eingebundenen Auftragsverarbeiter verhängt.

Zwischen Juni 2018 und Januar 2020 erhielt die CNIL mehrere Dutzend Meldungen über Verstöße gegen personenbezogene Daten im Zusammenhang mit einer Website, auf der mehrere Millionen Kunden regelmäßig einkaufen. Die CNIL beschloss, den für die Datenverarbeitung Verantwortlichen und seinen Auftragsverarbeiter, der mit der Verwaltung dieser Website betraut war , zu überprüfen.

Im Zuge ihrer Untersuchungen stellte die CNIL fest, dass die betreffende Website zahlreichen Angriffswellen des Typs „Credential Stuffing“ ausgesetzt war. Bei dieser Art von Angriff verwenden Angreifer Listen mit „unverschlüsselten“ Kennungen und Passwörtern, die im Internet veröffentlicht wurden und damit ebenfalls in der Regel einer Datenverletzung entstammen. Unter der Annahme, dass Benutzer häufig dasselbe Kennwort und denselben Benutzernamen (die E-Mail-Adresse) für verschiedene Dienste verwenden, versucht der Angreifer mithilfe von „Bots“, sich bei einer großen Anzahl von Websites anzumelden. Wenn die Authentifizierung erfolgreich ist, ermöglicht dies dem Angreifer, die mit den betreffenden Konten verbundenen Informationen zu sehen.

Die CNIL hat festgestellt, dass die Angreifer auf diese Weise in der Lage waren, folgende Informationen auszulesen: Name, Vorname, E-Mail-Adresse und Geburtsdatum der Kunden, aber auch deren Kundenkartennummer und -guthaben sowie Informationen im Zusammenhang mit ihren Bestellungen. Damit verstießen die beiden Unternehmen nach Auffassung der Behörde gegen Pflicht zur Wahrung der Sicherheit der persönlichen Daten der Kunden gemäß Artikel 32 der DS-GVO. Der Vorwurf der CNIL betraf auch den Umstand, dass die Unternehmen nur langsam Maßnahmen ergriffen, um diese wiederholten Angriffe wirksam zu bekämpfen.

Infolge dieser mangelnden Sorgfalt wurden die Daten von ca. 40.000 Website-Kunden zwischen März 2018 und Februar 2019 unberechtigten Dritten zugänglich gemacht.

Infolgedessen verhängte die CNIL zwei getrennte Geldbußen – 150 000 EUR gegen den für die Verarbeitung Verantwortlichen und 75 000 EUR gegen den Auftragsverarbeiter. Dabei wurde laut CNIL berücksichtigt, dass der für die Verarbeitung Verantwortliche über die Durchführung von Maßnahmen entscheiden und seinem Auftragsverarbeiter dokumentierte Anweisungen erteilen muss. Der Auftragsverarbeiter muss jedoch auch nach den geeignetsten technischen und organisatorischen Lösungen suchen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, und diese dem Verantwortlichen vorschlagen.

Die Comission Nationale de l’informatique et des libertés (‘CNIL’)

(Foto: David Hirjak – stock.adobe.com)


Letztes Update:31.01.21

Verwandte Produkte

  • Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Seminar

    794,60 € Mehr erfahren
  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    940,10 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678,60 € Mehr erfahren

Das könnte Sie auch interessieren

  • Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Webinar Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager

    Mehr erfahren
  • NIs-2 und Geschäftsführerschulung

    BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit

    Mehr erfahren
  • Refurbished Notebook und Datenpanne

    Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?

    Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner