Strafe gegen Immobilienkanzlei
Die französische Datenschutzbehörde hat eine Immobilienkanzlei zur Zahlung einer Geldstrafe in Höhe von € 400.000,- verurteilt.
Vorfall
Die Firma SERGIC ist eine Immobilenkanzlei mit einem jährlichen Umsatz von ca. 43 Millionen Euro. Über dessen Website ist es möglich sich Dokumente zu verschiedenen Gebäuden herunterzuladen sowie bestehende Mietverträge etc. zu verwalten.
Eine Privatperson wandte sich mit einer Beschwerde an die französische Datenschutzbehörde CNIL. Dieser hatte festgestellt, dass durch simple Veränderung der Website-URL Zugriff auf Dokumente von anderen Kunden möglich ist. Somit waren alle personenbezogene Daten auf der Website ungeschützt. Unter anderem waren folgende Daten betroffen:
- Ausweiskopien
- Sozialversicherungskarten inkl. Sozialversicherungsnummer
- Steuerbescheide
- Bescheide der Familienhilfe
- Scheidungsdokumente
- Bankkonto-Daten
Die Behörde leitete eine Untersuchung ein und stellte fest, dass die betroffene Firma seit mindestens sechs Monaten über diesen Umstand Bescheid wusste. Zwar wurde an einer Lösung gearbeitet, diese wurde allerdings erst wenige Tage nach Einleiten der Untersuchung fertiggestellt.
Im Zuge der Untersuchung stellte die Behörde zudem fest, dass personenbezogenen Daten unbegrenzt gespeichert werden. Interessenten, die niemals einen Vertrag mit dem Unternehmen eingegangen sind wurden trotzdem dauerhaft in der Datenbank gespeichert.
Entscheidung der Behörde
Ursprünglich wurde ein Bußgeld in Höhe von € 900.000,- festgelegt, welches die Behörde aufgrund der finanziellen Möglichkeiten der Firma später reduzierte. In der Begründung wurde angeführt, dass grundlegende Sicherheitsmaßnahmen bewusst missachtet wurden. Nachdem das Unternehmen die Fehler bemerkte wurde die Beseitigung der Fehler nicht priorisiert.
Desweiteren war die unbegrenzte Speicherung von Interessenten ein Verstoß gegen die DSGVO. Nach Empfehlung sollten die Daten spätestens drei Monate nach Verkauf/Vermietung der Immobilie gelöscht/anonymisiert werden. Sollte das aus rechtlichen Gründen nicht empfehlenswert sein (beispielsweise um Beweise im Falle einer Klage zu haben), dann müssen die Daten zumindest in eine separate Datenbank verschoben werden, dessen Zugriff stark beschränkt ist.
Entscheidungsdatum:
28.05.2019
Land:
Frankreich
Art des Verstoßes:
technische Mängel
Betroffene Datensätze:
29440
Waren sensible Daten betroffen?:
Nein
verhängte Geldstrafe:
€ 400,000,-
Verstoß gegen DSGVO Paragraph:
32. Sicherheit der Verarbeitung
5. Grundsätze für die Verarbeitung personenbezogener Daten
Quelle:
Bescheid der französischen Datenschutzbehörde CNIL (französisch)