Frankreich: Datenschutzbehörde verhängt erstmals Geldstrafe für Datenpanne

Seit November kann die Commission Nationale de l'Informatique et des Libertés (CNIL) im Einklang mit dem Gesetz für eine digitale Republik Datenschutzverstöße mit Geldbußen ahnden, während sie vorher nur Warnungen aussprechen durfte. Die französische Datenschutzbehörde hat jetzt erstmals von dieser neuen Option Gebrauch gemacht und den Autovermieter Hertz dazu verdonnert, 40.000 Euro Strafe zu zahlen.

Dessen Vergehen bestand darin, dass im Oktober persönliche Daten wie Name, Kontaktdetails und Führerscheinnummern von 35.357 Nutzern der Webseite www.cartereduction-hertz.com frei zugänglich waren, wie die Aufsichtsinstitution am Donnerstag mitteilte. Inhaber einer Rabattkarte der Firma können über das Portal Vergünstigungen in Anspruch nehmen. Mitarbeiter der CNIL hatten durch einen Hinweis von dem Leck erfahren. Sie setzten Hertz umgehend von dem Fund in Kenntnis. Die Zuständigen dort alarmierten die Vertragsfirma, die für die Entwicklung der Seite zuständig war. Diese habe umgehend die nötigen Schritte eingeleitet, um das Datenleck zu stopfen.

Problem schnell behoben

Bei genaueren Untersuchungen fanden die Prüfer nach eigenen Angaben heraus, dass die Panne die Folge eines Fehlers während eines Serverwechsels war. Dabei sei eine Codezeile gelöscht worden, sodass die ausgefüllten Formulare der Teilnehmer an dem Rabattprogramm wieder angezeigt werden konnten. Bei dem eingeleiteten Sanktionsverfahren und der nun gegen die französische Tochterfirma des US-Konzerns verhängten Strafe hat die CNIL nach ihrer Lesart berücksichtigt, dass der Autoverleiher rasch reagiert, gut mit dem Amt zusammengearbeitet sowie ein umfassendes Datenschutzaudit eingeleitet habe.

Von Mai 2018 an können Aufsichtsbehörden aller EU-Mitgliedsstaaten gemäß der Datenschutz-Grundverordnung Bußgelder bis zu 20 Millionen Euro beziehungsweise bei Konzernen bis zu vier Prozent des weltweiten Umsatzes des Vorjahres verhängen. (mho)