Norwegen: Die Stadt Bergen wurde mit einer DSGVO Strafe von 170.000€ belegt
Datatylsinet , die norwegische Datenschutzbehörde, hat die Stadt Bergen mit einer DSGVO Strafe von 160.000 Kronen (170.000€) belegt. Bergen hat die Online Plattform für Schulen – trotz mehrerer Warungen von Behörden und Whistleblowern – nicht ausreichend geschützt.
Angreifer haben eine Schwäche im System genutzt um mehr als 35.000 Benutzerkonten zu stehlen. Betroffen waren Lehrer, Schüler und weiteres Personal der lokalen Schulen. Die meisten gestohlenen Daten gehörten zu Kindern, obwohl die DSGVO für die Daten von Kindern besonderen Schutz vorsieht.
Die Angreifer konnten sich in die verschiedenen Systeme der Schule einlogen und persöhnliche Daten stehlen, unter anderem Namen, Passwörter, Geburtsdaten, Adressen und die zugehörige Schule. Außerdem erlangten sie Zugang zu der Lernplatform, wo sie die Noten der Schuler stehlen konnten.
Warum Norwegen eine Strafe nach der Datenschutz-Grundverordnung verhängt, obwohl das Land nicht Teil der EU ist, erfahren Sie hier: Norway Personal Data Act
Entscheidungsdatum:
29.03.2019
Land:
Norwegen
Art des Verstoßes:
Datendiebstahl
Betroffene Datensätze:
35 000
Waren sensible Daten betroffen?:
Ja
verhängte Geldstrafe:
€ 170,000,-
Verstoß gegen DSGVO Paragraph:
32. Sicherheit der Verarbeitung
Quelle:
Bescheid der norwegischen Datenschutzbehörde (norwegisch)