Die Commission Nationale de l’Informatique et des Libertés (CNIL) stellte im Rahmen einer Kontrolle, ausgelöst durch mehr als 2.500 Beschwerden, erhebliche Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) fest. Ein Angreifer konnte sich zuvor Zugriff auf rund 24 Millionen personenbezogene Datensätze verschaffen. Infolgedessen verhängte die CNIL gegen den Telekommunikationsanbieter FREE ein Bußgeld in Höhe von 15 Millionen Euro sowie gegen dessen Tochtergesellschaft FREE MOBILE ein Bußgeld von 27 Millionen Euro.
Als unabhängige französische Datenschutzbehörde sah die CNIL insbesondere Verstöße gegen die Anforderungen an die Sicherheit der Verarbeitung nach Art. 32 DSGVO. Darüber hinaus wurden betroffene Personen nicht ordnungsgemäß nach Art. 34 DSGVO informiert. Auch Verstöße gegen die Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO flossen in die Entscheidung ein. Die Höhe der Bußgelder richtete sich nach der Anzahl der Betroffenen, der Sensibilität der betroffenen Daten – darunter Bankverbindungsdaten – sowie den damit verbundenen Risiken.
Unzureichende Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten (Art. 32 DSGVO)
Nach Art. 32 DSGVO sind Verantwortliche und Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die CNIL stellte fest, dass das Authentifizierungsverfahren für den VPN-Zugang im Rahmen der Remote-Arbeit nicht ausreichend abgesichert war. Zudem waren die eingesetzten Systeme zur Erkennung unbefugter Zugriffe ineffizient.
Zwar kann ein vollständiger Ausschluss von Sicherheitsrisiken nicht verlangt werden. Dennoch müssen bestehende Schutzmaßnahmen der Art, dem Umfang und der Sensibilität der verarbeiteten Daten entsprechen. Nach Ansicht der CNIL war dies im vorliegenden Fall nicht gegeben, sodass die Sicherheitsmaßnahmen insgesamt als unzureichend einzustufen waren.
Unvollständige Benachrichtigung der betroffenen Personen über das Datenleck (Art. 34 DSGVO)
Liegt eine Datenschutzverletzung vor, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, sind die Betroffenen unverzüglich zu informieren. Die Benachrichtigung muss in klarer und verständlicher Sprache erfolgen und die in Art. 34 Abs. 3 DSGVO genannten Mindestinformationen enthalten.
Die Kommunikation der Unternehmen gegenüber den Betroffenen erfolgte auf zwei Ebenen. Auf der ersten Ebene wurden die Betroffenen per Informations-E-Mail über den Vorfall unterrichtet. Auf der zweiten Ebene richteten die Unternehmen eine gebührenfreie Rufnummer sowie ein internes System zur Verwaltung von Anfragen an den Datenschutzbeauftragten ein. Die CNIL beanstandete jedoch, dass die Informationen trotz dieser Kommunikationsstruktur nicht vollständig waren. Insbesondere sei nicht hinreichend erkennbar gewesen, welche konkreten Folgen der Vorfall für die Betroffenen haben könnte und welche Schutzmaßnahmen zu ergreifen seien.
Verstoß gegen den Grundsatz der Speicherbegrenzung (Art. 5 lit. e DSGVO)
Ein weiterer Schwerpunkt der Entscheidung betraf die Missachtung der Speicherbegrenzung. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist. Die betroffenen Unternehmen hatten keine ausreichenden Maßnahmen implementiert, um Daten ehemaliger Abonnenten zu trennen, erforderliche Buchhaltungsdaten zu identifizieren und nicht mehr benötigte Daten zu löschen.
Die CNIL stellte fest, dass FREE MOBILE Millionen personenbezogener Datensätze über einen unbegründet langen Zeitraum gespeichert hatte. Auch für buchhalterische Zwecke gespeicherte Daten mussten gelöscht werden, sobald die gesetzliche Aufbewahrungsfrist von zehn Jahren überschritten war.
Handlungsbedarf für Unternehmen
Die Entscheidung verdeutlicht, dass Unternehmen die gerügten Punkte besonders ernst nehmen müssen. Technische und organisatorische Sicherheitsmaßnahmen sind regelmäßig zu überprüfen und an die Art und Menge der verarbeiteten personenbezogenen Daten anzupassen. Bestehende Sicherheitssysteme dürfen nicht unverändert fortbestehen, sondern müssen fortlaufend weiterentwickelt werden.
Ebenso ist sicherzustellen, dass Datenschutzverletzungen frühzeitig erkannt werden und die Betroffenen vollständig, transparent und verständlich nach Art. 34 DSGVO informiert werden. Zudem ist die konsequente Umsetzung der Speicherbegrenzung unerlässlich. Löschkonzepte müssen nicht nur existieren, sondern auch angewendet und dokumentiert werden.
Fazit
Die Entscheidung der CNIL zeigt, dass Verstöße gegen zentrale Pflichten der DSGVO erhebliche finanzielle Risiken nach sich ziehen können. Unzureichende Sicherheitsmaßnahmen, eine unvollständige Information der Betroffenen sowie die Missachtung der Speicherbegrenzung standen im Mittelpunkt der Sanktionierung.
Besonders hervorzuheben ist, dass Sicherheitssysteme regelmäßig an die Art und Menge der verarbeiteten personenbezogenen Daten angepasst werden müssen. Zudem müssen Betroffene im Falle eines Datenschutzvorfalls klar, vollständig und verständlich über Risiken und Schutzmaßnahmen informiert werden. Die Entscheidung unterstreicht damit, dass Datenschutz als fortlaufender Prozess zu verstehen ist und nicht auf einmalige Maßnahmen reduziert werden darf.
