Datenleck in Malta: Unternehmen muss Herkunft von Daten innerhalb von 20 Tagen offenlegen oder mit Strafen rechnen
Die maltesische Datenschutzbehörde (IDPC) hat entscheidende Maßnahmen gegen das IT-Unternehmen C-PLANET ergriffen, das für einen Verstoß gegen die Wählerdaten in Malta verantwortlich ist. Nach einer zweiten Beschwerde von noyb hat die IDPC C-PLANET aufgefordert, die genauen Einzelheiten über die Erhebung von Daten maltesischer Bürger:inen innerhalb einer strengen Frist von 20 Tagen offen zu legen. Sollte das Unternehmen dieser Anordnung nicht nachkommen, droht eine "abschreckende" Geldstrafe.
- Blog-Beitrag: Politisches Datenleck in Malta, C-Planet verweigert Recht auf Zugang und Auskunft
- Entscheidung des IDPC
Ursprüngliche Beschwerde. Im November 2020 reichte noyb eine Beschwerde gegen C-PLANET IT Solutions ein, nachdem ein erhebliches Datenleck aufgetreten war, durch das Wählerdaten in Malta kompromittiert wurden. Das Leck enthüllte sensible Daten wie Telefonnummern, Geburtsdaten, Wahlabsichten und Parteizugehörigkeit von über 330.000 Personen, also fast allen Wähler:innen in Malta.
Erste IDPC-Entscheidung. Im Januar 2020 verhängte der IDPC eine Geldstrafe in Höhe von 65.000 € gegen C-PLANET eine Geldstrafe in Höhe von 65.000 Euro, wobei die schwerwiegenden Auswirkungen auf die betroffenen Personen und das erhebliche Risiko für ihre Grundrechte und -freiheiten berücksichtigt wurden. Darüber hinaus läuft derzeit eine von der Daphne-Stiftung und Repubblika geführte Sammelklage gegen C-PLANET.
Nicht identifizierte Datenquelle. Trotz der ersten Entscheidung des IDPC, bleibt die Herkunft der Daten für die Beschwerdeführer unbekannt. In der Entscheidung des IDPC wurde nicht auf die Herkunft der Daten eingegangen und die Namen der Kunden von C-PLANET, von denen das Unternehmen die Daten angeblich erhalten hat, wurden geschwärzt.
"Es ist besorgniserregend, dass ein privates Unternehmen heimlich Daten über politische Meinungen sammeln kann, ohne seine Motive und Methoden erklären zu müssen, insbesondere in einem Land der Europäischen Union." -Romain Robert, Datenschutzjurist bei noyb
Anhaltende Intransparenz. Nach der ersten IDPC-Entscheidung waren die maltesischen Wähler:innen immer noch im Unklaren darüber, woher ihre persönlichen und politischen Daten ursprünglich stammen. In Zusammenarbeit mit noyb hat eine betroffene Person eine Anfrage an C-PLANET gestellt und bat um Auskunft über die Herkunft der Daten. C-PLANET verweigerte jedoch eine Antwort mit dem Hinweis auf eine laufende Untersuchung. Folglich hat noyb eine zweite Beschwerde beim IDPC eingebracht und forderte die maltesische Datenschutzbehörde auf, C-PLANET zur Transparenz zu verpflichten.
Zweite IDPC-Entscheidung. Die Entscheidung des IDPC geht auf die ursprüngliche Beschwerde zurück, die C-PLANET beschuldigte, gegen Artikel 15 der DSGVO zu verstoßen. Insbesondere hat C-PLANET es versäumt, dem Beschwerdeführer eine Kopie seiner personenbezogenen Daten und relevanten Informationen über das Datenleck zur Verfügung zu stellen. In Anbetracht dieser feststellungen hat das IDPC das IT-Unternehmen angewiesen, dem Beschwerdeführer eine Kopie seiner Daten auszuhändigen. Darüber hinaus muss C-PLANET umfassende Angaben zu den gesammelten Daten machen.
Frist für die Einhaltung. C-PLANET wurde eine Frist von 20 Tagen eingeräumt, um der Anordnung des IDPC nachzukommen und die geforderten Informationen unverzüglich an den Beschwerdeführer zu übermitteln. Sollte das Unternehmen diese Informationen nicht vorlegen, wird es mit einer Geldstrafe belegt, die sowohl "verhältnismäßig und abschreckend" im Sinne der Datenschutz-Grundverordnung ist, wie es in der Entscheidung des IDPC heißt.