image
08/02/2019

FR: Die CNIL schont nicht die KMUs – 180 000 Euro Bußgeld

2B Advice
Eine CNIL Entscheidung vom 18. Juli 2019 zeigt deutlich die teuren Konsequenzen einer Verletzung der Kundendatensicherheit unter der DSGVO selbst für mittelständige Unternehmen.
 

Das sanktionierte Unternehmen ist ein Kfz-Versicherungsvermittler für Privatpersonen, der weniger als 10 Mitarbeiter beschäftigt und einen Jahresumsatz von ca. 10,7 Millionen Euros 2017 hatte.

Nach der Meldung eines Kunden hat die CNIL eine Online-Kontrolle im Sommer 2018 durchgeführt und festgestellt, dass Kundenkonten des Unternehmens über Hypertext-Links zugänglich waren, die anhand von Stichwortsuchen in Suchmaschinen (und ohne besondere Computerkenntnisse und -kompetenzen) zu finden waren. Dadurch konnten Daten und Dokumenten der Betroffenen (Führerscheinen, Bankverbindungen…) gesichtet werden, die zum Teil sensible Informationen enthielten (Führerscheinentzug, Fahrerflucht).

Die CNIL stellt das Fehlen von elementaren Maßnahmen, die besondere große Anzahl von den betroffenen personenbezogenen Daten und Dokumenten, und die besondere Genauigkeit der Informationen über die betroffenen Personen fest.

Das Unternehmen hat schnell auf diesen Befund reagiert, aber die nachträglichen Vor-Ort-Kontrolle der CNIL haben die ergriffenen Maßnahmen als noch nicht ausreichend bewertet und bemängelt, dass das Geburtstagsdatum als Passwort den Kunden empfohlen wird und dass das gewählte Passwort ihnen per einfacher E-Mail gesandt wird.

Die Zugänglichkeit für schutzbedürftige Personen ist hier keine Rechtfertigung für die Empfehlung von zu einfachen Passwörtern, da angemessene Maßnahmen, die nicht die Sicherheit der Daten gefährden, hätten getroffen werden können.

Was den Betrag vom Bußgeld angeht, sucht die CNIL nach einem Mittelweg zwischen dem von der DSGVO geforderten Abschreckungseffekt und der Berücksichtigung der schnellen Reaktion des Unternehmens. Statt die ursprünglich vorgeschlagenen 375 000 Euro (3,75 % des Jahresumsatzes des Unternehmens) verhängt sie 180 000 Euro Bußgeld (1,67% des Jahresumsatzes).

Der Fall zeigt, dass Sie sich auch als „kleines Unternehmen“ auf deutliche Sanktionen einstellen müssen, wenn Sie grundlegende Sicherheitsaspekte außer Acht lassen. Wir raten daher dazu, bei der Planung und beim Betrieb automatisierter Verarbeitungen auf den Einsatz von technischen und organisatorischen Maßnahmen nach dem Stand der Technik zu achten.

Foto: © fotomek - Fotolia

Weitere Informationen:
https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000038810992

Wildcard SSL Certificates

© 2003 - 2019 |  2B Advice GmbH - the privacy benchmark | Handelsregister-Nr.: Bonn HRB 12713
Joseph-Schumpeter-Allee 25 | 53227 Bonn | Phone: +49 228 926165-100 | Fax: +49 228 926165-109 | Email: info@2b-advice.com 
Keine Gewähr für die Richtigkeit der Angaben. Bitte beachten Sie auch:
Datenschutzerklärung | Impressum | Anfahrt | Jobs
2B Advice GmbH Italy | 2B Advice LLC USA | 2B Advice s.r.o. Slowakei
Vereinigte Staaten von Amerika | Slowakei | Deutschland | Bonn | Berlin | München | San Diego | Brezno | Verona | Wien