Anfang Januar 2021 war die norwegische Gemeinde Østre Toten von einem Ransomware-Angriff betroffen, bei dem ca. 30.000 Dokumente von Einwohnern und Beschäftigten der Gemeinde von den Hackern kopiert und verschlüsselt wurden. Die Sicherungskopien der Daten wurden ebenfalls gelöscht. Einige dieser Dokumente sind bereits im Darknet aufgetaucht. Unter den Datensätzen waren auch besonders sensible personenbezogene Daten im Sinne des Art. 9 DSGVO enthalten, wie z.B. die Religionszugehörigkeit.
Der Vorfall wurde von der Gemeinde an die norwegische Behörde gemeldet, die unzureichende technisch-organisatorische Maßnahmen bei der Gemeinde feststellte. Dies stellte Verstöße gegen die Artikel 24 DSGVO (Verantwortung des für die Verarbeitung Verantwortlichen) sowie Artikel 32 DSGVO (Sicherheit der Verarbeitung) dar. Daraufhin wurde im Oktober 2021 ein Bußgeld in Höhe von 409.656 Euro von der norwegischen Behörde Datatilsynet verhangen.
Trotz rechtzeitiger Meldung hat die Gemeinde ein Bußgeld von der Behörde bekommen. Dies ist wieder einmal ein gutes Beispiel dafür, dass lediglich eine ausreichende IT-Sicherheit vor Datenschutzvorfällen und den Strafen im Nachgang schützt. Aus diesem Grund sollte sich jedes betroffene Unternehmen mehr den je mit der eigenen IT-Sicherheit befassen und Maßnahmen treffen und erarbeiten, die solche Ereignisse in Zukunft sicher abwehren können.
Quellenangabe:
- Artikel „Top 5 DSGVO-Bußgelder im Oktober 2021“, abgerufen am 09.11.2021 unter https://www.dr-datenschutz.de/top-5-dsgvo-bussgelder-im-oktober-2021/?utm_source=mailpoet&utm_medium=email&utm_campaign=+newsletter-weekly