easyGDPR

We make implementing General Data Protection Regulation Easy

by

Strafe gegen Bouygues Telecom

Bouygues Telecom Logo

Die französische Datenschutzbehörde CNIL ist seit dem Inkrafttreten der Datenschutz-Grundverordnung besonders aktiv und hat bereits mehrfach empfindliche Geldstrafen gegen nationale und internationale Unternehmen verhängt – siehe hier.
Am 27. Dezember verhängte die Behörde eine € 250.000,- Geldstrafe gegen das Unternehmen Bouygues Telecom wegen Verstößen gegen das französische Datenschutzgesetz.

Vorgeschichte

Mit ca. 7.000 Mitarbeitern und über 17 Millionen Kunden ist das Unternehmen der drittgrößte Telekommunikationsanbieter in Frankreich. Im Jahr 2017 betrug der Umsatz mehr als 5 Milliarden Euro, der Gewinn wurde mit 260 Millionen Euro beziffert.

Die abgeschlossenen Verträge sowie dazugehörige Rechnungen können Kunden über das Webportal des Unternehmens abrufen. Bouygues Telecom stellte fest, dass Besucher durch simple Veränderung der Webadresse (URL) auf die Verträge und Rechnungen anderer Kunden zugreifen konnten. Diese Tatsache stellt eine Datenschutzverletzung dar, welche vom Unternehmen an die Datenschutzbehörde gemeldet wurde. Bereits vier Tage zuvor wurde die Behörde von einer Privatperson auf diesen Umstand hingewiesen.

Technische Ursache

Grundsätzlich hat das Unternehmen das Kundenportal ordnungsgemäß entwickelt und der Zugriff auf fremde Daten wird vom System unterbunden. Im Zuge der Ermittlungen wurde jedoch festgestellt, dass die Webseite vor ca. zwei Jahren im Zuge einer Markenfusion vom Netz genommen wurde. Im Zuge der Arbeiten wurde das Sicherheitsmodul deaktiviert und beim Reaktivieren der Seite nicht wieder eingeschaltet. Daher waren die personenbezogenen Daten der Kunden für ca. zwei Jahre ungeschützt.

Entscheidung der Datenschutzbehörde

Die französische Datenschutzbehörde verhängte nach Abschluss der Ermittlungen eine Geldstrafe von € 250.000,-.
Als Begründung wurde vor allem angemerkt, dass das Unternehmen es unterlassen hatte andere Maßnahmen zu setzen, damit ein solcher Fehler entdeckt wird. Dazwischen erfolgte Sicherheitstests brachten den Umstand ebenfalls nicht zu Tage, da diese ineffektiv waren.
Ursprünglich plante die Behörde eine Strafe von € 500.000,-, diese wurde aber aufgrund der guten Mitwirkung von Bouygues Telecom schließlich reduziert.

Festzuhalten ist, dass nicht die DSGVO zur Anwendung kam. Die Daten der Kunden waren bis März 2018 ungeschützt, die Datenschutz-Grundverordnung trat aber erst mit Mai in Kraft.

Entscheidungsdatum:
27.12.2018

Land:
Frankreich

Art des Verstoßes:
technische Mängel

Betroffene Datensätze:
2 176 236

Waren sensible Daten betroffen?:
Nein

verhängte Geldstrafe:
€ 250,000,-

Verstoß gegen DSGVO Paragraph:
Unbekannt

Quelle:
Mitteilung der französischen Datenschutzbehörde CNIL (französisch)