Eine Sicherheitslücke im Ticketverkaufssystem ermöglichte es Unbefugten, auf Fan-Daten über die Website des Vereins zuzugreifen. Dieses Bußgeld steht im Zusammenhang mit einer Datenpanne, die der Fußballverein AC Omonia der zypriotischen Datenschutzbehörde gemäß Artikel 33 der DSGVO gemeldet hat. Wegen einer Sicherheitslücke im Ticketverkaufssystem des Vereins konnte eine unbefugte Person auf personenbezogene Fan-Daten zugreifen und diese öffentlich machen. Zu den betroffenen Daten gehörten die Namen, Fankartennummern und ID-Nummern.
Die Datenschutzbehörde betrachtete dies als eine Verletzung der Verpflichtung des Bußgeldempfängers, technische und organisatorische Maßnahmen zu ergreifen, die ein dem Risiko der betroffenen Personen entsprechendes Sicherheitsniveau sicherstellen.
Das Ticketsystem wurde von Hellenic Technical Enterprises Ltd. bereitgestellt und kam auch beim Fußballverein APOEL FC zum Einsatz. Gegen beide Vereine wurden in getrennten Verfahren Bußgelder in Höhe von 25.000 EUR bzw. 40.000 EUR verhängt.
Sanktionsadressat
AC Omonia
Bußgeld
40.000 EUR
Verletzte Rechtsnorm
Art. 32 DSGVO
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
Quellen und Links:
Datenschutzbehörde: Zypern – Datenschutzaufsichtsbehörde Zypern
http://www.dataprotection.gov.cy/dataprotection/dataprotection.nsf/All/FD9FF8C6CB04DA6CC22587290043314D?OpenDocument
Rechtssichere Webseite für Unternehmen – Website-Compliance-Check
https://website-compliance.tec4net.com
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com – www.it-sicherheit-muenchen.com