Wegen Verletzung der Umsetzung angemessener technischer und organisatorischer Maßnahmen (TOMs), sowie wegen fehlender Nachweisbarkeit von Einwilligungen hat die polnische Aufsichtsbehörde UODO (Urząd Ochrony Danych Osobowych) gegen das Unternehmen Morele.net verhängt.

Hintergrund des Bußgelds waren zwei Vorfälle, welche sich im Jahr 2018 ereignet hatten und in dessen Zuge sich Unbefugte Zugang zur Kundendatenbank des Unternehmens verschafft hatten, welche circa 2,2 Millionen Personen betraf. Als Reaktion auf diesen Vorfall wurde von der UODO ein Verfahren eingeleitet in dessen Rahmen diverse Mängel im Bereich der DSGVO-Compliance festgestellt wurden:

Bemängelt wurde von der UODO in erster Linie, dass das verantwortliche Unternehmen keine wirksamen technischen und organisatorischen Sicherheitsmaßnahmen im Bereich der Zugangskontrolle und Authentifizierung gesetzt hat und daher die Risiken von Cyberangriffen (wie etwa Phishing) nicht ausreichend reduziert wurden. Daneben wurde von der UODO ebenfalls bemängelt, dass die vom verantwortlichen Unternehmen die für die zugrundeliegenden Datenverarbeitungen notwendigen Einwilligungen entweder gar nicht nachgewiesen werden konnten oder aber nicht den Anforderungen der DSGVO entsprachen. Weiters stellte die UODO fest, dass diverse Datensätze noch vorhanden waren, obwohl seitens des Unternehmens angegeben wurde, dass diese im Dezember 2018 gelöscht wurden.

Angesichts der festgestellten Verstöße gegen die DSGVO wurde durch die UODO eine Geldbuße im Ausmaß von EUR 660.000,-- verhängt. Hinsichtlich der Höhe führte die UODO in ihrer Entscheidung aus, dass die Vielzahl an Verstöße sowie die große Anzahl an betroffenen Personen erschwerend zu berücksichtigen waren. Gleichzeitig wurde von der UODO aber auch festgehalten, dass die kooperative Zusammenarbeit seitens des Verantwortlichen sowie der Umstand, dass die Verstöße nicht durch in Schädigungsabsicht erfolgt sind, als Milderungsgründe zu werten sind.

Die Entscheidung der UODO ist nicht rechtskräftig. Vom verantwortlichen Unternehmen wurde angekündigt gegen diese rechtlich vorzugehen.