Die spanische Datenschutzbehörde AEPD reagierte auf eine Meldung der Polizei und nahm das datenverarbeitende Unternehmen Nivalco unter die Lupe. Dieses hatte personenbezogene Daten für den Energieversorger Enérgya-VM (Energya) verarbeitet. Die Untersuchung offenbarte erhebliche Mängel:
Energya hatte weder ausreichende Risikoanalysen zur Datenverarbeitung durch Nivalco durchgeführt noch präventive Maßnahmen ergriffen, um Datenschutzverstöße zu vermeiden. Zudem stellte sich heraus, dass Nivalco Daten ohne gültige Rechtsgrundlage und nicht im Einklang mit der DSGVO verarbeitet hatte. Trotz dieser Verstöße blieb Energya weiterhin bei Nivalco als Auftragsverarbeiter. Die AEPD rügte Energya, da das Unternehmen seiner Verantwortung als Auftraggeber nicht nachgekommen war.
Nachtrag vom 19.09.2024: Energya legte Einspruch gegen die Entscheidung ein, den die AEPD ablehnte.
Sanktionsadressat
Enérgya-VM
Bußgeld
2.500.000 EUR
Verletzte Rechtsnorm
Art. 5 Abs. 1 lit. a DSGVO
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
Quellen und Links:
Datenschutzbehörde: Spanien – Agencia Española Protección Datos
https://www.aepd.es/documento/ps-00216-2023.pdf
Externe Datenschutzbeauftragte (DSB) für München und Deutschland
https://www.tec4net.com/web/datenschutz
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX und PCI-DSS.
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com