Der Präsident des Amtes für den Schutz personenbezogener Daten hat erneut den Verstoß gegen die Datenschutz-Grundverordnung bei Morele.net im Zusammenhang mit einem großen Datenleck untersucht und erneut eine Geldstrafe gegen den für die Verarbeitung Verantwortlichen verhängt. Diesmal belief sich die Geldstrafe auf über 3,8 Millionen PLN.
Nachdem das Oberste Verwaltungsgericht Polens am 9. Februar 2023 die Entscheidung des Präsidenten des Amtes für den Schutz personenbezogener Daten, mit der eine Geldstrafe gegen das Unternehmen Morele.net verhängt wurde, aufgehoben hatte, führte die Aufsichtsbehörde das Verwaltungsverfahren in diesem Fall erneut durch. Es zeigte sich, dass die Verletzung des Schutzes personenbezogener Daten auf das Versäumnis des Unternehmens zurückzuführen ist, angemessene Schutzmaßnahmen anzuwenden, was zum Bekanntwerden der personenbezogenen Daten von 2,2 Millionen Personen führte. Das Oberste Verwaltungsgericht Polens hat nicht alle Feststellungen des Präsidenten des Amtes für den Schutz personenbezogener Daten im Zusammenhang mit dieser Verletzung in Frage gestellt. Es stellte jedoch die Zuständigkeit der Behörde für die Bewertung der technischen und organisatorischen Maßnahmen in Frage, die der für die Verarbeitung Verantwortliche zum Schutz personenbezogener Daten getroffen hatte. Nach Ansicht des Gerichts sollte die Behörde nachweisen, dass sie über die erforderlichen Kenntnisse verfügt, um eine solche Analyse der Sicherheitsvorkehrungen durchzuführen. Die Begründung ließ den Schluss zu, dass der Präsident des Amtes für den Schutz personenbezogener Daten einen Sachverständigen hätte benennen oder ein internes Dokument mit Schlussfolgerungen aus der Analyse des Standards der von dem Unternehmen angewandten Sicherheitsmaßnahmen hätte erstellen müssen, auf das sich der für die Verarbeitung Verantwortliche im Laufe des Verfahrens hätte berufen können.
Daraufhin leitete das Amt für den Schutz personenbezogener Daten das Verwaltungsverfahren erneut ein, bei dem sich auch herausstellte, dass Morele.net unzureichende technische Sicherheitsvorkehrungen gegen das bestehende Risiko einer Datenverletzung getroffen hatte. Außerdem fehlte es an der Umsetzung geeigneter Verfahren, um auf ungewöhnliches Verhalten, wie z. B. einen erhöhten Netzwerkverkehr, zu reagieren.
Die Mängel bei den Sicherheitsvorkehrungen wurden durch die „Analyse der von Morele.net sp. o. o. (…) angewandten (…)“ bestätigt, die von der Aufsichtsbehörde im Zusammenhang mit der Notwendigkeit, dem Urteil des Obersten Verwaltungsgerichts Polens nachzukommen, erstellt wurde.
Im Laufe des Verfahrens bestellte der Präsident des Amtes für den Schutz personenbezogener Daten keinen Sachverständigen, und der Verfahrensbeteiligte stellte die vorgelegte Analyse in Frage, wobei er u. a. die Befangenheit der Verfasser behauptete und deren Ausschluss forderte. Die Aufsichtsbehörde hat diesen Vorwurf im Laufe des Verfahrens nicht berücksichtigt, da er de facto dazu führen würde, dass sich keiner der Mitarbeiter des Amtes für den Schutz personenbezogener Daten wegen des Vorwurfs der Befangenheit mit diesem Fall befassen könnte.
In der Zwischenzeit ergab die vorbereitete Analyse, dass der für die Verarbeitung Verantwortliche einen Teil der Daten nicht verschlüsselt hatte (was er zugab), keine Zwei-Faktor-Authentifizierung vornahm und keine Risikoanalyse durchführte, die unter anderem die Risiken im Zusammenhang mit der Möglichkeit, sich von einem öffentlichen Netz aus in das System einzuloggen, berücksichtigt hätte. Infolgedessen kam es in zwei Fällen zu einem unbefugten Zugriff von außen, durch den eine unbefugte Person in den Besitz der Daten der Kunden von Morele.net gelangte. Außerdem gab es keine technischen und administrativen Lösungen, um den Netzwerkverkehr zu überwachen und bei der Entdeckung unangemessener Aktivitäten zu reagieren.
Dies wird durch die Ergebnisse bestätigt, die zeigen, dass das Unternehmen nicht sicher war, ob und welche Daten aus seinen Ressourcen gestohlen worden waren. Eine Reihe von Lösungen in diesem Bereich wurden von dem für die Verarbeitung Verantwortlichen erst nach dem Datenleck eingeführt. Nach Ansicht des Präsidenten des Amtes für den Schutz personenbezogener Daten wäre er in der Lage gewesen, unbefugte Zugriffsversuche zu erkennen und Maßnahmen zur Verhinderung des Datendiebstahls zu ergreifen, wenn ihm diese Lösungen früher zur Verfügung gestanden hätten.
Im Laufe des Verfahrens hat der für die Verarbeitung Verantwortliche selbst eingeräumt, dass das Fehlen geeigneter Lösungen ein Fehler seinerseits war.
Der Präsident des Amtes für den Schutz personenbezogener Daten vertrat die Auffassung, dass in diesem Fall die Verhängung eines Bußgeldes aufgrund der Schwere, der Art und des Umfangs der dem für die Verarbeitung Verantwortlichen vorgeworfenen Verstöße notwendig und gerechtfertigt war.
In dieser Entscheidung werden erstmals die am 24. Mai 2023 angenommenen Leitlinien des Europäischen Datenschutzausschusses für die Berechnung von Geldbußen verwendet, um die Höhe der Geldbuße zu bestimmen.