Am 27.01.2025 wurde ein Bußgeld in Höhe von 4.000.000 Euro gegen die Versicherungsgesellschaft GENERALI ESPAÑA ausgesprochen. Hintergrund war, dass das Unternehmen Opfer eines Cyberangriffs geworden war, bei dem wichtige personenbezogene Daten wie u.a. Ausweiskopien und IBAN-Nummern von Kunden abgeflossen waren. Nach Beschwerden von Privatpersonen bei der spanischen Datenschutzbehörde AEPD (Agencia española protección datos) leitete diese eine Untersuchung bei der Generali ein. Dabei kam heraus, dass es nicht nur an technischen und organisatorischen Maßnahmen zum Schutz verarbeiteter Daten gemangelt hatte, sondern dass es auch keine ausreichende Risiko- und Folgebewertung des Vorfalls gegeben hatte.
Die AEPD sprach daraufhin das Bußgeld aus, das sich aus insgesamt vier Strafen zusammensetzte:
- 1 Mio. Euro wegen Verstoßes gegen Art. 5 Abs. 1 lit. f) DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten, Integrität und Vertraulichkeit)
- 2 Mio. Euro wegen Verstoßes gegen Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen)
- 1 Mio. Euro wegen Verstoßes gegen Art. 32 DSGVO (Sicherheit der Verarbeitung)
- 1 Mio. Euro wegen Verstoßes gegen Art. 35 DSGVO an (Datenschutz-Folgenabschätzung)
Dieser Vorfall ist ein Beispiel dafür, dass ein Unternehmen aus Sicht der Datenschutzbehörden, auch wenn es einen Cyberangriff erleiden musste, nicht zwangsläufig als „Opfer“ betrachtet wird, insofern es klar ersichtlich datenschutzrelevante Pflichten vernachlässigt hatte.
Quellenangaben:
- DSGVO-Portal, abgerufen am 31.01.2025 unter: https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-generali-espa%C3%91a-2025-01-27-ES-4134.php
Autorin:
Sabrina Reinecke [SRE], externe betriebliche Datenschutzbeauftragte (TÜV-Zertifizierung)