Die spanische Datenschutzbehörde reagierte auf einen Vorfall bei The Phone House Spain (TPHS), das 2021 Opfer eines Ransomware-Angriffs der Babuk-Gruppe wurde. Dabei wurden personenbezogene Daten von 13 Millionen Menschen gestohlen und veröffentlicht.
Die Untersuchung ergab, dass TPHS seine Schutzmaßnahmen für personenbezogene Daten nicht ausreichend auf dem neuesten Stand gehalten hatte. Zwar waren 2018 Schutzmaßnahmen geplant worden, doch diese wurden nie umgesetzt. Die Schwere des Vorfalls wurde durch die hohe Zahl betroffener Personen und die umfangreiche Verarbeitung der Daten von TPHS verstärkt.
Das Unternehmen wurde mit einer Geldstrafe von insgesamt 6,5 Millionen Euro belegt, die sich aus zwei Strafen von 4 Millionen und 2,5 Millionen Euro zusammensetzen. TPHS legte Einspruch gegen die Entscheidung ein, doch die AEPD lehnte diesen ab.
Sanktionsadressat
The Phone House Spain
Bußgeld
6.500.000 EUR
Verletzte Rechtsnorm
Art. 5 Abs. 1 lit. f DSGVO
Art. 32 DSGVO
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
Quellen und Links:
Datenschutzbehörde: Spanien – Agencia Espanola de Proteccion de Datos (AEPD)
https://www.aepd.es/documento/ps-00084-2023.pdf
Was ist ein Löschkonzept
https://www.tec4net.com/web/2024/11/18/30869
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX und PCI-DSS.
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com