Millionenstrafe nach Datenpanne: CNIL sanktioniert französischen Provider Free

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die französische Aufsichtsbehörde CNIL hat gegen den Mobilfunkanbieter Free Mobile und dessen Muttergesellschaft Free nach einer veritablen Datenpanne Bußgelder in Höhe von 27 Millionen beziehungsweise 15 Millionen Euro verhängt. Anlass für die Strafe in Höhe von insgesamt 42 Millionen Euro war ein Cyberangriff im Oktober 2024, bei dem Unbefugte tief in die IT-Systeme der beiden Firmen eindringen konnten. Dabei wurden persönliche Daten von rund 24 Millionen Vertragskonten kompromittiert. Die Angreifer erhielten Zugriff etwa auf Namen, Adressen und in vielen Fällen sogar auf die internationalen Bankkontonummern (IBAN) der Kunden.

Die jetzt von der CNIL veröffentlichten Entscheidungen vom 8. Januar folgten auf eine Welle von über 2500 Beschwerden betroffener Nutzer. Im Rahmen ihrer Untersuchungen stießen die Kontrolleure auf Versäumnisse, die weit über Pech im Umgang mit Cyberkriminellen hinausgehen. Die Aufsichtsbehörde wirft den Firmen vor, elementare Sicherheitsgrundsätze der Datenschutz-Grundverordnung (DSGVO) missachtet zu haben.

Insbesondere die Absicherung der VPN-Zugänge, über die sich Mitarbeiter etwa aus dem Homeoffice einwählten, war demnach nicht robust genug. Zudem seien die Systeme zum Erkennen ungewöhnlichen Verhaltens ineffektiv gewesen: Sie konnten den massiven Datenabfluss nicht rechtzeitig stoppen. Angesichts der Menge und Sensibilität der Daten seien die Vorkehrungen unzureichend gewesen, um die Vertraulichkeit zu gewährleisten.

Betroffene unzulänglich aufgeklärt

Besonders kritisch bewertete die CNIL den Umgang mit den Betroffenen. Zwar informierten die Unternehmen ihre Kunden per E-Mail, doch die Kommunikation blieb weit hinter den gesetzlichen Anforderungen zurück. Nach Ansicht des Sanktionsausschusses fehlten essenzielle Informationen, die für die Nutzer notwendig gewesen wären, um die Folgen des Leaks zu begreifen und sich wirksam vor Missbrauch zu schützen. Gerade bei entwendeten Bankkontodaten wiege eine unklare Kommunikation schwer, da sie das Risiko für Phishing und Identitätsbetrug deutlich erhöhe.

Zusätzlich geriet die Speicherpraxis von Free Mobile ins Visier. Die Inspektionen ergaben, dass das Unternehmen Millionen von Datensätzen ehemaliger Abonnenten über Jahre hinweg hortete. Dafür habe keine rechtliche Notwendigkeit bestanden. Die DSGVO schreibt vor, dass Daten gelöscht werden müssen, sobald sie für den ursprünglichen Zweck nicht mehr benötigt werden. Free Mobile versäumte es jedoch, alte Bestände auszusortieren, was die Menge der erbeuteten Informationen unnötig in die Höhe trieb.

Bei der Festlegung der Strafe berücksichtigte die CNIL die Finanzkraft der Firmengruppe sowie die Art der abgeflossenen Daten. Free soll Sicherheitslücken mittlerweile geschlossen haben, muss die Implementierung weiterer einschlägiger Maßnahmen aber innerhalb von drei Monaten abschließen. Für die Bereinigung veralteter Datenbanken gilt für Free Mobile eine Frist von sechs Monaten.

(mho)