easyGDPR

We make implementing General Data Protection Regulation Easy

by

Strafe gegen Immobilienkanzlei

Die französische Datenschutzbehörde hat eine Immobilienkanzlei zur Zahlung einer Geldstrafe in Höhe von € 400.000,- verurteilt.

Vorfall

Die Firma SERGIC ist eine Immobilenkanzlei mit einem jährlichen Umsatz von ca. 43 Millionen Euro. Über dessen Website ist es möglich sich Dokumente zu verschiedenen Gebäuden herunterzuladen sowie bestehende Mietverträge etc. zu verwalten.

Eine Privatperson wandte sich mit einer Beschwerde an die französische Datenschutzbehörde CNIL. Dieser hatte festgestellt, dass durch simple Veränderung der Website-URL Zugriff auf Dokumente von anderen Kunden möglich ist. Somit waren alle personenbezogene Daten auf der Website ungeschützt. Unter anderem waren folgende Daten betroffen:

  • Ausweiskopien
  • Sozialversicherungskarten inkl. Sozialversicherungsnummer
  • Steuerbescheide
  • Bescheide der Familienhilfe
  • Scheidungsdokumente
  • Bankkonto-Daten

Die Behörde leitete eine Untersuchung ein und stellte fest, dass die betroffene Firma seit mindestens sechs Monaten über diesen Umstand Bescheid wusste. Zwar wurde an einer Lösung gearbeitet, diese wurde allerdings erst wenige Tage nach Einleiten der Untersuchung fertiggestellt.

Im Zuge der Untersuchung stellte die Behörde zudem fest, dass personenbezogenen Daten unbegrenzt gespeichert werden. Interessenten, die niemals einen Vertrag mit dem Unternehmen eingegangen sind wurden trotzdem dauerhaft in der Datenbank gespeichert.

Entscheidung der Behörde

Ursprünglich wurde ein Bußgeld in Höhe von € 900.000,- festgelegt, welches die Behörde aufgrund der finanziellen Möglichkeiten der Firma später reduzierte. In der Begründung wurde angeführt, dass grundlegende Sicherheitsmaßnahmen bewusst missachtet wurden. Nachdem das Unternehmen die Fehler bemerkte wurde die Beseitigung der Fehler nicht priorisiert.

Desweiteren war die unbegrenzte Speicherung von Interessenten ein Verstoß gegen die DSGVO. Nach Empfehlung sollten die Daten spätestens drei Monate nach Verkauf/Vermietung der Immobilie gelöscht/anonymisiert werden. Sollte das aus rechtlichen Gründen nicht empfehlenswert sein (beispielsweise um Beweise im Falle einer Klage zu haben), dann müssen die Daten zumindest in eine separate Datenbank verschoben werden, dessen Zugriff stark beschränkt ist.

Entscheidungsdatum:
28.05.2019

Land:
Frankreich

Art des Verstoßes:
technische Mängel

Betroffene Datensätze:
29440

Waren sensible Daten betroffen?:
Nein

verhängte Geldstrafe:
€ 400,000,-

Quelle:
Bescheid der französischen Datenschutzbehörde CNIL (französisch)

Category iconAllgemein