Die nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten schloss im Februar 2025 eine Untersuchung beim Betreiber Automobilus International SRL ab und stellte einen Verstoß gegen Art. 32 Absatz. (1) und Abs. (2) der Verordnung (EU) 2016/679 .
Aus diesem Grund wurde der Betreiber mit einer Geldstrafe von 24.885 Lei, umgerechnet 5.000 Euro, belegt.
Die Untersuchung wurde eingeleitet, nachdem der Betreiber Automobilus International SRL gemäß den Bestimmungen des Art. 13 der DSGVO eine Meldung über eine Verletzung der Sicherheit personenbezogener Daten übermittelt hatte. 33 der Verordnung (EU) 2016/679.
So meldete der Betreiber einen Sicherheitsvorfall, nämlich dass Informationen aus seiner Datenbank von Dritten illegal abgerufen wurden und gleichzeitig die Vertraulichkeit einiger personenbezogener Daten verloren ging. Darüber hinaus wurde mitgeteilt, dass durch Ausnutzung einer Sicherheitslücke auf einem der Server des Betreibers Zugriff auf Informationen im Datensatzsystem erlangt wurde.
Bei der Untersuchung wurde festgestellt, dass der Betreiber keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hat, um ein dem Verarbeitungsrisiko angemessenes Schutzniveau zu gewährleisten, das insbesondere durch unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung bzw. unbefugten Zugriff auf übermittelte, gespeicherte oder auf sonstige Weise verarbeitete personenbezogene Daten entsteht, wie es gemäß Art. 6 DSGVO erforderlich ist. 5 Absatz. (1) Buchstabe. f) DSGVO.
In diesem Zusammenhang wurde auf bestimmte Kategorien personenbezogener Daten, wie etwa Name, Nachname, Telefonnummer und Lieferadresse einer erheblichen Anzahl von Kunden des Betreibers, widerrechtlich zugegriffen.
Da keine geeigneten technischen und organisatorischen Maßnahmen getroffen wurden, um ein angemessenes Sicherheitsniveau zu gewährleisten, liegt somit ein Verstoß gegen die Bestimmungen des Art. 32 Absatz. (1) und Abs. (2) der Verordnung (EU) 2016/679, wobei gegen den Betreiber eine Geldbuße verhängt wird.
Gleichzeitig gilt gemäß Art. 58 Absatz. (2) Buchstabe. d) der Verordnung wurde dem Betreiber aufgetragen, als Abhilfemaßnahme die betroffenen Personen über den Sicherheitsvorfall sowie über die zur Behebung ergriffenen technischen und organisatorischen Maßnahmen durch Veröffentlichung einer Erklärung auf der Startseite der Website des Unternehmens zu informieren.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_12_03_2025&lang=ro