Am 28. Februar 2024 hat die griechische Datenschutzbehörde (Hellenic SA) eine Geldstrafe gegen HELLENIC POST SERVICES S.A. (ELTA S.A.) verhängt. Grund für das Bußgeld ist das Versäumnis des Unternehmens, angemessene technische und organisatorische Maßnahmen zu implementieren, was zu unbefugten Zugriffen Dritter auf das Unternehmenssystem führte.
Hintergrund der Entscheidung
HELLENIC POST SERVICES berichtete zwei Datenschutzverletzungen an die Hellenic SA, wie es die DSGVO vorschreibt. Der erste Vorfall betraf die Entschlüsselung von Daten durch Dritte, die Lösegeld forderten. Der zweite Vorfall betraf die Veröffentlichung persönlicher Daten auf dem Dark Web. Diese Vorfälle unterstreichen die kritische Notwendigkeit für Unternehmen, ihre Sicherheitsmaßnahmen ständig zu überprüfen und zu verbessern.
Wesentliche Erkenntnisse und Entscheidungen
Die Untersuchung ergab, dass HELLENIC POST SERVICES die erforderlichen Sicherheitsmaßnahmen nicht eingehalten hat. Dies führte zu mehreren Sicherheitsverletzungen, darunter das Scannen von Schwachstellen, unbefugter Zugriff auf Systemressourcen, Ausführung schädlicher Prozesse, Deaktivierung von Sicherheitssoftware und Dateiverschlüsselung.
Aufgrund der Schwere der Verletzung, der Anzahl der betroffenen Personen und der Art der betroffenen Daten verhängte die Hellenic SA eine Geldstrafe, die 1% des letzten verfügbaren Jahresumsatzes von ELTA entspricht.
Maßnahmen nach dem Vorfall
Trotz der schwerwiegenden Sicherheitsverletzungen wurden mildernde Umstände berücksichtigt, einschließlich der Verstärkung der Sicherheitsmaßnahmen nach dem Vorfall, der Beauftragung eines spezialisierten Unternehmens zur Untersuchung des Vorfalls und der Befolgung seiner Anweisungen durch ELTA sowie der Wiederherstellung der Daten. Auch die finanzielle Lage des Unternehmens wurde berücksichtigt.
Fazit
Dieser Fall unterstreicht die Bedeutung der Einhaltung der DSGVO und der Notwendigkeit, effektive Sicherheitsmaßnahmen zu implementieren, um persönliche Daten zu schützen. Unternehmen müssen sicherstellen, dass sie nicht nur auf Datenschutzverletzungen reagieren, sondern auch proaktiv Maßnahmen zur Risikominimierung ergreifen.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TTDSG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530