DSGVO-Briefing
11. März 2025In diesem Artikel bieten wir Ihnen eine Zusammenfassung ausgewählter Entwicklungen im Bereich Datenschutz und IT-Sicherheit der vergangenen Wochen.
Telegram-Nutzer leakt Black Basta-Chatlogs.
Am 11. Februar 2025 veröffentlichte ein Telegram-Nutzer unter dem Pseudonym “ExploitWhispers” Chatlogs der Ransomware-Gang Black Basta auf seinem Kanal. Es handelt sich um 200.000 Nachrichten umfassende interne Matrix-Chatprotokolle, die zwischen dem 18. September 2023 und dem 28. September 2024 entstanden.
In ihnen besprach die Gruppe Phishing-Strategien und teilte Listen von Firmen, an die sie diese verschicken wollten, sowie Spreadsheets potenzieller Ziele, Krypto-Adressen und Opfer-Zugangsdaten, Daten-Drops und mehr. Auch 467 ZoomInfo-Links, die gewöhnlich zum Teilen von Opferdaten verwendet werden, waren im Chat zu finden.
Darüber hinaus teilte "ExploitWhispers" Informationen über Mitglieder der Gruppe. So offenbarte er, dass der User "Lapa" der Führungsriege der Gruppe angehört und für organisatorische Aufgaben verantwortlich ist. "YY" ist im Support tätig. "Trump" hingegen ist ein Pseudonym für Oleg N., den Kopf der Gang, der auch unter "GG" und "AA" agiert. Der Nutzer "Cortes" hingegen gehört zur "QakBot"-Gruppe und hat sich von "Black Basta" distanziert.
Forscher haben die veröffentlichten Daten analysiert und festgestellt, dass die von Black Basta gestellten Lösegeldforderungen insgesamt in zweistelliger Millionenhöhe liegen. Mindestens ein Gruppenmitglied soll zum Zeitpunkt des Datenlecks 17 Jahre alt sein.
Grupo Caja Rural: Bisher 21 Bußgelder wg. Sicherheitsvorfall bei Datenverarbeiter.
Die spanische Datenschutzbehörde veröffentlichte Ende Februar und Anfang März eine Reihe Bußgeldbescheide gegen nach Stand des 7. März 2025 21 verschiedene Standorte der 30 regionale Sparkassen umfassenden Grupo Caja Rural. Zu der Gruppe gehören mehrere zusätzliche Unternehmen, darunter Rural Servicios Informáticos (RSI), das auch für die IT-Systeme der Caja Rural-Banken verantwortlich ist.
Bei einem Cyber-Angriff auf diesen Dienstleister wurden personenbezogene Daten von Kunden der Banken kompromittiert. Die AEPD stelle bei jeder der 21 Niederlassungen fest, dass die Datenverarbeitung seitens der Kassen und ihres Auftragsverarbeiters im Verstoß gg. Art. 5 Abs. 1 lit. f) DSGVO ohne angemessene Sicherheitsgarantien geschah und erließ entsprechende Geldstrafen.
Die Summe der verhängten Bußgelder variiert je nach Größe der Standorte von 8.000 EUR (Caixa Rural Benicarló, Caja Rural de Baena Nuestra Señora de Guadalupe, Caja Rural de Nuestra Madre del Sol, Caja Rural de Nueva Carteya) bis 400.000 EUR (Caja Rural de Jaén, Barcelona y Madrid, Hauptsitz der Grupo Caja Rural). Alle Bankstandorte zahlten das geforderte Bußgeld freiwillig, erkannten aber keine Haftung an, weshalb sich die ursprünglichen Strafsummen um 20% reduzierten.
Mit weiteren Strafen für die übrigen Bankniederlassungen ist zu rechnen. Zudem ist ein zukünftiges Bußgeld gegen Rural Servicios Informáticos, den tatsächlich betroffenen Dienstleister, wahrscheinlich.
EuGH: DSGVO-Bußgeldsummen können auf Basis des Umsatzes eines Mutterkonzerns berechnet werden.
Der Europäische Gerichtshof hat sich mit der Frage befasst, ob bei der Berechnung von Geldbußen für Verstöße gegen die DSGVO der Umsatz des gesamten Konzerns oder nur der der betroffenen Gesellschaft herangezogen werden darf.
Hintergrund der Entscheidung war ein Verfahren gegen das dänische Möbelhaus ILVA, das zur Lars Larsen Group gehört. ILVA wurde vorgeworfen, die Daten von mindestens 350.000 ehemaligen Kunden unrechtmäßig gespeichert zu haben. Die dänische Staatsanwaltschaft beantragte eine Geldbuße von 1,5 Mio. DKK (rund 201.000 EUR), wobei sie sich auf den Gesamtgewinn der Lars Larsen Group stützte, statt nur von den Einnahmen von ILVA selbst auszugehen.
In erster Instanz allerdings wurde das Unternehmen zu einer Strafe von nur 100.000 DKK (rund 13.400 EUR) verurteilt. Dieser Betrag basierte auf einem fahrlässigen Verstoß ILVAs und kam ohne Berücksichtigung des Gesamteinkommens der Gruppe zustande. Die Staatsanwaltschaft legte daraufhin Berufung beim Landgericht für Westdänemark ein, das den EuGH um eine Vorabentscheidung bat.
Der EuGH entschied, dass der Begriff "Unternehmen" in Art. 83 Abs. 4 bis 6 DSGVO im Sinne der EU-Wettbewerbsregeln auszulegen ist. Demnach kann für die Berechnung von Geldbußen nicht nur der Umsatz der einzelnen Gesellschaft, sondern der gesamte weltweit erzielte Gewinn des Konzerns, zu dem sie gehört, herangezogen werden. Gleichzeitig betonte der EuGH, dass nationale Gerichte bei der Festsetzung der Strafe den Verhältnismäßigkeitsgrundsatz wahren und die tatsächliche wirtschaftliche Leistungsfähigkeit des Unternehmens berücksichtigen müssen.