17.06.2020
DSGVO: NAIH belegt DIGI wegen schwerwiegender Datenschutzverletzung mit Geldstrafe von 100 Mio. HUF
Gemäß der im Juni veröffentlichten Entscheidung der Nationalen Behörde für Datenschutz und Informationsfreiheit (NAIH) habe die DIGI Távközlési és Szolgáltató Kft. (DIGI) als für die Verarbeitung Verantwortliche zwei Grundsätze der Allgemeinen Datenschutzverordnung [Verordnung (EU) 2016/679, DSGVO] schwerwiegend verletzt und sei ihren in den Artikeln 5 und 32-34 DSGVO enthaltenen Verpflichtungen nicht nachgekommen, als sie zwei Testdatenbanken mit sensiblen personenbezogenen Daten, die ursprünglich zur Fehlerbehebung eingerichtet worden seien, nach Durchführung der erforderlichen Tests und Korrektur der Fehler nicht gelöscht habe, sodass diese abweichend vom ursprünglich bestimmten Zweck über einen längeren Zeitraum hinweg ohne geeigneten IT-Schutz im System gespeichert gewesen seien.
Die NAIH leitete ein Verfahren in dem Fall ein, nachdem ein ethischer Hacker zunächst DIGI über die Schwachstellen der Datenbanken und danach die NAIH über den Datenschutzvorfall informiert hatte, von dem er Kenntnis erlangt hatte. Im Verlauf des Verfahrens stellte die NAIH mehrfache Verstöße von DIGI fest, weil diese keine Verschlüsselung verwendet und die in den Datenbanken gespeicherten Daten nach der vorübergehenden, testorientierten Verwendung nicht gelöscht bzw. trotz der Tatsache, dass der Fehler in der Content-Management-Software seit neun Jahren bekannt war, kein Update zum Schutz der Daten durchgeführt habe.
Der Datenschutzvorfall betraf auch eine Testdatenbank mit den persönlichen Daten der DIGI-Abonnenten und eine Newsletter-Datenbank mit Namen und E-Mail-Adressen. Die DIGI-Testdatenbank enthielt auch vertrauliche Daten (zusätzlich zu den Namen, Adressen und E-Mail-Adressen der Abonnenten) wie Personalausweisnummern, Telefonnummern, vereinzelt Bankdaten sowie Daten auf Administratorebene, die leicht zu Identitätsdiebstahl oder Missbrauch hätte führen können. Aufgrund der Versäumnisse war auch festzustellen, dass nicht autorisierte Eindringlinge mehr als neun Jahre lang über die öffentlich zugängliche Website www.digi.hu Zugang zu den betreffenden Datenbanken hätten haben können, einschließlich der darin enthaltenen Daten. Im Ergebnis ihrer Untersuchung stellt die NAIH fest, dass DIGI aufgrund der genannten Versäumnisse gegen die in Artikel 5 Absatz 1 Buchstaben b DSGVO genannte Pflicht zur Zweckbindung sowie ferner gegen die Pflicht zur Speicherbegrenzung gemäß Buchstabe e) verstoßen hatte, da die Testdatenbank zur Fehlerbehebung eingerichtet auch nach Durchführung der Testläufe und der Fehlerkorrektur nicht gelöscht worden war. Somit war die große Anzahl der darin gespeicherten Kundendaten über einen längeren Zeitraum ohne einen bestimmten Zweck und ohne Schutz so gespeichert, dass die Kunden leicht zu identifizieren waren.
Die Geldbuße von 100 Mio. HUF ist die größte von der NAIH verhängte Geldbuße in Ungarn in einer Datenschutzangelegenheit seit Inkrafttreten der DSGVO. Die Tatsache, dass sensible Daten aufgrund einer langjährigen Sicherheitslücke verfügbar waren, wurde bei der Verhängung der Geldbuße als erschwerender Umstand berücksichtigt. Die Höhe der Geldbuße bestimmte sich ferner nach der Größe des Kundenstamms, der fehlenden Datenverschlüsselung und der Marktposition des Dienstleisters, aufgrund derer die Anwendung entsprechender Datensicherheitsmaßnahmen fortlaufend zu erwarten sei.
Bei der Festsetzung der Höhe der Geldbuße berücksichtigte die NAIH, dass der Datenschutzvorfall bei DIGI auf eine Datensicherheitslücke zurückzuführen sei, für die seit langem kostenlose Updates auf dem Markt verfügbar gewesen seien, und dass die Schwachstelle auch von Dritten leicht habe erkannt werden können, sodass DIGI bei richtiger Einschätzung der Risiken über einen langen Zeitraum die Möglichkeit gehabt habe, das Sicherheitsproblem anzugehen. Verschlüsselungs- und Risikobewertungsmaßnahmen seien im Übrigen in den internen Vorschriften von DIGI vorgesehen. Diese habe das Unternehmen jedoch nicht oder höchstens unvollständig eingehalten.
Die NAIH betrachtet die festgestellten Datenschutzmängel als systembedingtes Problem, aufgrund dessen die Verletzungssituation bei DIGI hinsichtlich der betroffenen Datenbanken bereits lange Zeit vor dem Auftreten des Vorfalls bestanden habe. Angesichts dieser erschwerenden Umstände stellten die von DIGI begangenen Verstöße gegen Grundsätze der DSGVO einen Verstoß dar, der unter die höhere Höchststrafe gemäß Artikel 83 Absatz 5 DSGVO falle.
Gegen die Entscheidung der NAIH kann DIGI noch mittels Verwaltungsklage vorgehen.
Autor: dr. Viktória Villányi