Die finnische Datenschutzbehörde „Tietosuojavaltuutetun toimisto“ sprach ein Bußgeld in Höhe von 608.000 Euro gegen die psychotherapeutische Einrichtung aus, da es mindestens zwei Cyberangriffe im Dezember 2018 und im März 2019 auf eine Datenbank gegeben hatte, die Patienten- und Gesundheitsdaten enthielt.
Die Eindringlinge verschafften sich nach aktuellem Untersuchungsstand durch einen ungeschützten Port Zugang zu der Datenbank und waren damit in der Lage z.B. Daten abzuschöpfen oder zu löschen. Erschwerend kam hinzu, dass der betroffene Server zwischen dem 26. November 2017 und dem 13. März 2019 ohne Firewall-Schutz über das Internet zugänglich war. Diese Unzulänglichkeiten stellen einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit der Einrichtung dar.
Ebenfalls wusste die Bußgeldempfängerin bereits im März 2019, dass Patientendaten durch den Cyberangriff betroffen waren. Dennoch erfolgte die Meldung an die Behörde erst sehr verspätet im September 2020. Die Behörde wertete die verspätete Meldung als vorsätzlich, was im Bußgeldbescheid berücksichtigt wurde.
Quellenangaben:
- DSGVO Portal, abgerufen am 22.12.2021 unter https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-psykoterapiakeskus-vastaamo-2021-12-16-FI-1677.php