Datenschutzverletzung in Malta: 65.000 € Strafe

18 Jan 2022

Illegale Verarbeitung von Wählerdaten in Malta: 65.000 € Strafe für IT-Unternehmen

Nach einer Beschwerde von noyb verhängte die maltesische Datenschutzbehörde (IDPC) eine Geldstrafe von 65.000 € gegen das IT-Unternehmen C-Planet. Dieses hatte nicht nur unrechtmäßig Daten von 98% aller maltesischen Wähler:innen gesammelt, sondern auch verabsäumt,  diese angemessen zu schützen. Weder die Nutzer:innen, noch die Datenschutzbehörde wurden von C-Planet über die Datenpanne informiert.

Download: Entscheidung des IDPC gegen C-PLANET

Beschwerde von noyb im November 2020. Die von C-Planet illegal gesammelten und in weiterer Folge geleakten Daten umfassten Telefonnummern, Geburtsdaten, Wahlabsichten und politische Präferenzen von über 330.000 betroffenen Personen also 98% aller maltesischen Wähler:innen.

Keine Rechtsgrundlage. Der IDPC stellte fest, dass die Daten ohne gültige Rechtsgrundlage gemäß Artikel 6 und 9 der DSGVO verarbeitet wurden. Die numerische Kennung der jeweiligen Positionen in C-Planet’s Datenbank bezog sich auf die politischen Meinungen der betroffenen Personen. Solche sensible Daten dürfen nur unter besonderen Umständen verarbeitet werden, welche im konkreten Fall nicht vorlagen.

Datenquelle unbekannt. C-Planet behauptete, die Daten seien ihnen von einem ihrer Kunden zugespielt worden, der betreffende Kunde wies diese Anschuldigung jedoch zurück. Der Name des Kunden wurde in der Entscheidung des IDPC geschwärzt, somit ist die Herkunft der Daten schlussendlich unklar.

"Es ist besorgniserregend, dass wir weiterhin nicht wissen, wie und warum ein IT-Unternehmen diese Art von Daten sammelt und speichert. Es gibt keine Garantie dafür, dass so etwas nicht wieder passiert." Romain Robert, Programmdirektor bei noyb.

Schuldhafte Fahrlässigkeit. C-Planet hatte es laut IDPC verabsäumt, dem Risiko angemessene Schutzmaßnahmen zu ergreifen, was letztlich zu dieser Datenpanne führte. Die Entscheidung bestätigt auch, dass C-Planet die Verletzung des Schutzes personenbezogener Daten weder dem IDPC  noch den betroffenen Personen rechtzeitig gemeldet hatte.

Geldstrafe von 65.000 €. Die verhängte Strafe berücksichtigt unter anderem die schwerwiegenden Auswirkungen für die Betroffenen, inklusive der Gefährdung ihrer Rechte und Freiheiten. Die Behörde ordnete außerdem an, dass C-Planet alle unrechtmäßig verarbeiteten personenbezogenen Daten löschen muss. Die Sammelklage gegen C-Planet, die von der Daphne Foundation und Repubblika initiiert wurde, ist noch im Gange.

"Dieser Fall zeigt, wie wichtig der Datenschutz für die Demokratie und die Freiheitsrechte der Menschen ist. Das Sammeln und Verarbeiten von Wahlabsichten der Bevölkerung ist nicht nur illegal, sondern auch gefährlich, besonders in Zeiten, in denen politische Manipulationen im Internet ein heißes Thema sind." Romain Robert, Programmdirektor bei noyb.