Die Nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten schloss im Oktober 2024 eine Untersuchung beim Betreiber Altex Rumänien SA ab und stellte einen Verstoß gegen die Bestimmungen von Art. 2 fest. 32 Abs. (1) lit. b) und der Kunst. 32 Abs. (2) der Verordnung (EU) 2016/679 (DSGVO).

Daher wurde dem Betreiber eine Geldstrafe von 99.516 Lei, umgerechnet 20.000 EURO, auferlegt.

Die Untersuchung wurde aufgrund der Tatsache eingeleitet, dass Altex Romania SA bei der nationalen Aufsichtsbehörde zwei Meldungen über das Auftreten von Verstößen gegen die Sicherheit personenbezogener Daten eingereicht hat:

a) Der Betreiber wurde per E-Mail von einem Dritten darüber informiert, dass einige Konten seiner Kunden auf einer Plattform veröffentlicht wurden, wobei die personenbezogenen Daten einer sehr großen Anzahl betroffener Personen betroffen waren, bzw.: Vor- und Nachname, E-Mail, Passwort des altex.ro-Kontos, im Kundenkonto verfügbare Informationen, wie z. B. Lieferadresse, Nr. Telefon, Bestellhistorie, Daten zu den Karten, mit denen die Online-Zahlung erfolgt, Kommunikation in der Beziehung mit dem Betreiber;

b) Der Betreiber stellte fest, dass er Opfer eines „Credential Stuffing“-Computerangriffs geworden war, indem wiederholt versucht wurde, Passwörter auf einigen Kundenkonten für die Bestellung von Geschenkkarten zu validieren. Es wurde angegeben, dass die folgenden personenbezogenen Daten für eine annähernd erhebliche Anzahl betroffener Personen betroffen waren: Identifikationsdaten für die Anmeldung im Kundenkonto: Name, Nachname, E-Mail-Adresse, Zugangspasswort für das Kundenkonto, Finanzdaten im Zusammenhang mit den im Kundenkonto registrierten Bankkarten Anwendung/Website.

Bei der Untersuchung wurde festgestellt, dass der Betreiber Altex Rumänien SA keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hat , um ein dem mit der Verarbeitung verbundenen Risiko entsprechendes Sicherheitsniveau zu gewährleisten und einen illegalen Zugriff auf die Kundenkonten des Betreibers zu verhindern. Dies führte zu einem unbefugten Zugriff auf die persönlichen Daten einer sehr großen Anzahl von Kunden des Betreibers durch zwei verschiedene Computerangriffe, bei denen einige Konten übernommen wurden.

Gleichzeitig gemäß Art. 58 Abs. (2) lit. d) Aufgrund der Verordnung (EU) 2016/679 wurden folgende Korrekturmaßnahmen angeordnet :

– Die technische und verfahrenstechnische Umsetzung der folgenden Maßnahmen zur Reduzierung des Risikos einer Verletzung der Vertraulichkeit personenbezogener Daten durch Computerangriffe auf Authentifizierungsplattformen in Kundenkonten auf allen verwalteten E-Commerce-Websites/-Anwendungen: Benachrichtigung über die Anmeldung neuer Geräte, Anzeige der im Konto angemeldeten Geräte, Komplexitätsrichtlinie und Passwortverlauf für alle Kundenkonten mit voreingestelltem Ablaufintervall;

– Technische und prozessuale Implementierung eines Systems zur Überwachung des ein- und ausgehenden Internetverkehrs (inbound/outbound), ausgeführt auf Authentifizierungsplattformen in Kundenkonten auf allen verwalteten E-Commerce-Sites/Anwendungen.

https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_18.11.2024&lang=ro