In unseren DSGVO News möchten wir Ihnen nicht nur Urteile der deutschen und österreichischen Datenschutzbehörden sondern auch Entscheidungen aller anderen europäischen Datenschutzbehörden vorstellen . Vor wenigen Tagen hat beispielsweise die tschechische Aufsichtsbehörde (Úřad pro ochranu osobních údajů, englisch the office for personal data protection) eine Strafe gegen einen heimischen Internetshop verhängt. Dabei handelt es sich um einen Vorfall aus der Zeit vor der DSGVO, der Vorfall wäre aber auch unter der neuen europäischen Regelung ein eklatanter Verstoß gewesen.
Hintergrund
Die Mall-Gruppe ist ein Internetkonzern und nach eigenen Angaben die größte E-Commerce Gruppe im Zentral- und osteuropäischen Raum. Sie entstand durch die Fusion verschiedener osteuropäischer Firmen im Jahr 2016. Dabei agiert das Unternehmen nicht als reiner Versandhändler sondern hat durch verschiedene weitere Produkte wie MallPay, MallTV, etc. weitere Kanäle für eine stärkere Kundenbindung. In der Tschechischen Republik ist Mall.cz der Marktführer im Bereich E-Commerce.
Datenschutzverletzung
Laut tschechischer Datenschutzbehörde konnten unautorisierte Personen zwischen 31. Dezember 2014 bis August 2017 die personenbezogenen Daten von 735 000 Kunden abrufen. Die Datensätze enthielten Vor- und Nachname, E-Mail Adresse, Passwort und Telefonnummer. In welcher Form die Kennwörter vorlagen (als Hash-Wert oder im Klartext) wurde nicht bekanntgegeben. Die Datensätze waren dabei auch für ca. einen Monat bei einem tschechischen Filehoster abrufbar.
Die Betreiber konnten laut Behördenangaben bis heute keine Erklärung liefern, wie es zu dieser Datenschutzverletzung kommen konnte.
Entscheidung der Datenschutzbehörde
Die tschechische Aufsichtsbehörde verhängte über das Unternehmen eine Geldstrafe in Höhe von 1.5 Millionen tschechischer Kronen (in etwa € 60 000,-) aufgrund eines Verstoßen gegen das tschechische Datenschutzgesetz (Zákon č. 101/2000 Sb., o ochraně osobních údajů (účinné znění)) aus dem Jahr 2000. Die mögliche Höchststrafe hätte in diesem Fall 5 Millionen tschechische Kronen (CZK) betragen (siehe Abschnitt 45, Absatz 3).
DSGVO
Obwohl das tschechische Datenschutzgesetz aus dem Jahr 2000 stammt, sind viele Passagen ähnlich zur Datenschutz-Grundverordnung. Die inzwischen ungültige nationale Bestimmung fordert einen angemessenen Schutz, die DSGVO geht hier weiter und fordert einen angemessenen Schutz am Stand der Technik. Damit wollte der Gesetzgeber sicherstellen, dass der Schutz personenbezogener Daten regelmäßig evaluiert wird.
Daneben haben sich die Höchststrafen durch die Datenschutz-Grundverordnung wesentlich erhöht, bis zu 20 Millionen Euro sind möglich (siehe DSGVO Artikel 83), während in Tschechien bis dato lediglich 10 Millionen CZK (ca. € 380 000,-) möglich gewesen wären (bei illegaler Verarbeitung besonders schützenswerter Daten bzw. wenn durch die illegale Verarbeitung ein hohes Risiko für das Privatleben der Betroffenen besteht).
Fazit
Die tschechische Datenschutzbehörde zeigt, dass auch Datenschutzverstöße aus der Vergangenheit behandelt werden. Die Strafhöhe erklärt sich aus der Vielzahl an Datensätzen, welche öffentlich gemacht wurden sowie der Tatsache, dass das betroffene Unternehmen keine Erklärung für die Ursache abliefern konnte. Daher muss befürchtet werden, dass die personenbezogenen Daten weiterhin nicht bestmöglich geschützt sind. Sollten weitere Kundendaten entwendet werden, dann muss mall.cz mit deutlich empfindlicheren Geldbußen rechnen, da in diesem Fall die DSGVO zur Anwendung kommt und die Datenschutzbehörde in diesem Fall gegen einen Wiederholungstäter vorgeht.