Polen: morele.net erhält wegen Hackerangriff eine Geldstrafe von EUR 645.000
Am 19.09.2019 hat die polnische Aufsichtsbehörde eine weitere DSGVO-Strafe in Höhe von EUR 645.000,-- für ein Datenleck verhängt.
Ein Onlinehändler (morele.net; Umsatz im Jahr 2018: ca. 159 Mio EUR) hat im Rahmen eines Hackerangriffes die Datensätze (Vor- und Nachname, Telefonnummer, E-Mail-Adresse, Lieferanschrift) von 2.2 Mio Kunden „verloren“, davon auch bei 35.000 Kunden Informationen über Teilzahlungsanfragen, die auch eine persönliche Identifikationsnummer (vergleichbar mit Personalausweisnummer), den Ausbildungsstand, die Lieferadresse, die Korrespondenzadresse, die Information über Einkommensquellen, die Höhe des Nettoeinkommens und die Lebenshaltungskosten, den Familienstand sowie die Höhe von anderen Kreditzusagen oder Unterhaltsverpflichtungen betreffen.
Aus der Art der Datenkategorien, die vom Hacker erlangt wurden, ergibt sich ein erhebliches Risiko für die betroffenen Personen.
Der Verantwortliche hatte – nach Ansicht der Aufsichtsbehörde - nicht mit angemessenen technischen und organisatorischen Maßnahmen dafür gesorgt, dass die Daten ausreichend vor Verlust der Vertraulichkeit geschützt wurden.
Bei der Strafzumessung wurden die getroffenen Maßnahmen des Verantwortlichen, die gute Zusammenarbeit mit der Aufsichtsbehörde und die Tatsache, dass es sich um einen erstmaligen Verstoß gehandelt hat, mildernd berücksichtigt.
Die Entscheidung ist – nach meinen Recherchen – nicht rechtskräftig, und der Betreiber von morele.net beabsichtigt, ein Rechtsmittel zu erheben, da die Strafe höchst unangemessen sei, und die technischen und organisatorischen Maßnahmen seien angemessen gewesen.
Der Betreiber von morele.net verlangt auch die Überprüfung des Sachverhaltes durch „externe Experten“, wobei es in der ersten Instanz nicht möglich war, die Behörde von der Notwendigkeit der Verifizierung der Schlussfolgerungen der Behörde durch externe Sachverständige zu überzeugen.
12.10.2019, Autor:
Michael Schweiger, zert. DSBA
Kommentar schreiben