Der australische Informationsbeauftragte hat beim Bundesgerichtshof ein zivilrechtliches Bußgeldverfahren gegen die Medibank Private Limited im Zusammenhang mit der Datenpanne vom Oktober 2022 eingereicht.
Der Kommissar behauptet, dass Medibank von März 2021 bis Oktober 2022 die Privatsphäre von 9,7 Millionen Australiern ernsthaft beeinträchtigt hat, indem sie es versäumt hat, angemessene Maßnahmen zu ergreifen, um ihre persönlichen Daten vor Missbrauch und unbefugtem Zugriff oder Offenlegung zu schützen, was einen Verstoß gegen den Privacy Act 1988 darstellt.
Das Verfahren folgt auf eine Untersuchung, die von der australischen Informationsbeauftragten Angelene Falk eingeleitet wurde, nachdem Medibank Gegenstand eines Cyberangriffs war, bei dem ein oder mehrere Bedrohungsakteure auf die persönlichen Daten von Millionen aktueller und ehemaliger Kunden zugriffen, die anschließend im Dark Web veröffentlicht wurden.
„Die Veröffentlichung von persönlichen Informationen im Dark Web hat eine große Anzahl von Australiern der Wahrscheinlichkeit eines ernsthaften Schadens ausgesetzt, einschließlich potenzieller seelischer Belastung und der Gefahr von Identitätsdiebstahl, Erpressung und Finanzkriminalität“, sagte die amtierende australische Informationsbeauftragte Elizabeth Tydd.
Die Tätigkeit der Medibank als Krankenversicherungsdienstleister umfasst im Wesentlichen die Sammlung und Aufbewahrung persönlicher und sensibler Gesundheitsdaten der Kunden. Im Geschäftsjahr, das im Juni 2022 endete, erwirtschaftete Medibank einen Umsatz von 7,1 Milliarden Dollar und einen Jahresgewinn von 560 Millionen Dollar.
„Wir werfen der Medibank vor, dass sie es versäumt hat, angesichts ihrer Größe, ihrer Ressourcen, der Art und des Umfangs der sensiblen und persönlichen Daten, mit denen sie umgeht, und des Risikos eines schweren Schadens für den Einzelnen im Falle eines Verstoßes gegen die Datenschutzbestimmungen angemessene Maßnahmen zum Schutz der in ihrem Besitz befindlichen personenbezogenen Daten zu ergreifen“, so Kommissar Tydd.
„Wir sind der Ansicht, dass das Verhalten von Medibank zu einem schwerwiegenden Eingriff in die Privatsphäre einer sehr großen Zahl von Personen geführt hat.“
Die für den Datenschutz zuständige Kommissarin Carly Kind sagte: „Organisationen, die personenbezogene Daten sammeln, verwenden und speichern, tragen eine große Verantwortung dafür, dass diese Daten sicher aufbewahrt werden. Das gilt insbesondere, wenn es sich um sensible Daten handelt“.
„Dieser Fall sollte ein Weckruf für australische Organisationen sein, in ihre digitalen Schutzmaßnahmen zu investieren, um den Herausforderungen einer sich entwickelnden Cyberlandschaft zu begegnen. Die Organisationen sind sowohl ethisch als auch rechtlich verpflichtet, die ihnen anvertrauten personenbezogenen Daten zu schützen, und tragen die Verantwortung dafür, sie sicher aufzubewahren.“
Hintergrund
Das Office of the Australian Information Commissioner (OAIC) leitete eine Untersuchung der Datenschutzpraktiken der Medibank ein, nachdem am 25. Oktober 2022 ein Datenschutzverstoß bei der Medibank und ihrer Tochtergesellschaft ahm gemeldet worden war.
Die Untersuchung konzentrierte sich darauf, ob die Handlungen oder Praktiken der Medibank einen Eingriff in die Privatsphäre oder einen Verstoß gegen den australischen Datenschutzgrundsatz (APP) 11.1 darstellten.
Gemäß APP 11.1 ist Medibank verpflichtet, die unter den gegebenen Umständen angemessenen Maßnahmen zu ergreifen, um die in ihrem Besitz befindlichen Informationen vor Missbrauch, Beeinträchtigung und Verlust sowie vor unbefugtem Zugriff, Änderung oder Offenlegung zu schützen.
Die Untersuchung des OAIC befasste sich mit den Praktiken der Medibank in Bezug auf die Verwaltung und Sicherung personenbezogener Daten und mit der Frage, ob diese Maßnahmen unter den gegebenen Umständen angemessen waren, um die personenbezogenen Daten vor unbefugtem Zugriff zu schützen.
Der Australian Information Commissioner kann beim Bundesgericht eine zivilrechtliche Strafverfügung beantragen, wenn einer Einrichtung vorgeworfen wird, schwerwiegende oder wiederholte Eingriffe in die Privatsphäre vorgenommen zu haben, die gegen Abschnitt 13G des Privacy Act verstoßen.
In diesen Verfahren kann das Bundesgericht für jeden Verstoß gegen Abschnitt 13G eine zivilrechtliche Strafe von bis zu 2.220.000 Dollar verhängen (gemäß dem von März 2021 bis Oktober 2022 geltenden Strafrahmen). Ob und in welcher Höhe eine Zivilstrafe verhängt wird, ist Sache des Gerichts.
Der OAIC hat auch mehrere damit zusammenhängende Einzelbeschwerden und eine repräsentative Beschwerde erhalten.
https://www.oaic.gov.au/newsroom/oaic-takes-civil-penalty-action-against-medibank