1 Min

Datenpanne in Italien: Sensible Daten des „INPS“ landen offen im Netz

Da ist etwas gewaltig schiefgelaufen. Ein milliardenschweres Hilfsprogramm der italienischen Regierung zur Bewältigung der Coronakrise hat zu einer unfassbaren Datenpanne geführt. Das Hilfsprogramm sieht für jeden Selbständigen eine Soforthilfe in Höhe von 600 Euro vor. Diese können über das Portal der offiziellen INPS-Webseite (Istituto Nazionale della Previdenza Sociale) beantragt werden. Von dieser Möglichkeit haben in den vergangenen beiden Tagen unzählige Personen Gebrauch gemacht oder besser gesagt: Gebrauch machen wollen.

Das Portal war dem Ansturm hunderttausender Freelancer nicht gewachsen und ging in die Knie. Immer wieder kam es auf dem Portal zu massiven Störungen. Auf den sozialen Medien verbreiteten sich prompt die ersten Beschwerden. Die Bürger warten seit Tagen sehnsüchtig auf die finanzielle Hilfe des Staates und nun funktioniert die Webseite nicht. Doch das ist nicht alles. Als die Website wieder funktionierte, kam es zu mehreren Meldungen von Benutzern, dass sie plötzlich Zugriff auf andere Profile hatten. Über die sozialen Medien verbreiteten sich in Windeseile Mitteilungen, Screenshots und Bildschirmvideos.

Hier ein Video auf der Webseite der Repubblica in welchem ein Nutzer auf verschiedene Daten von anderen Profilen stößt.

Offenbar bekamen Antragende beim Einloggen Einblick in andere Nutzerprofile, und damit auch in deren personenbezogene Daten wie beispielsweise:

  • Name und Vorname
  • Anschrift
  • Private Telefonnummer
  • E-Mail-Adresse
  • Steuer-ID
  • Informationen zu Elternzeit und Invalidität

Wie viele Nutzerprofile davon betroffen sind und ob es nicht vielleicht Testdaten sind, ist noch unklar. Bislang hat es noch keine offizielle Stellungnahme vom NPS gegeben. Diese ist aber dringend erforderlich.

Und was nun?

Gemäß Art. 33 Abs. 1 DGSVO muss der Verantwortliche die Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde melden, sofern sie zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt oder führen kann.

Führt eine Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen, sind die betroffenen Personen unverzüglich zu benachrichtigen (Art. 34 Abs. 1 DSGVO). Auch für die Pflicht zur Benachrichtigung der betroffenen Personen müssen damit zwei Voraussetzungen vorliegen: Eine Verletzung des Schutzes personenbezogener Daten und ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, was hier wohl als gegeben angesehen werden kann.

Zu welchen rechtlichen Konsequenzen kann es kommen?

Die italienische Datenschutz- Aufsichtsbehörde verfügt gemäß Art. 58 DSGVO über verschiedene und weitreichende Befugnisse. Hierzu gehören auch die Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen anzuweisen, die von einer Datenpanne betroffene Personen entsprechend zu benachrichtigen oder Verarbeitungsvorgänge innerhalb eines bestimmten Zeitraums im Einklang mit der DSGVO zu bringen.

Eine Verhängung von Bußgeldern an das INPS ist ein durchaus denkbares Szenario. Im Gegensatz zu Deutschland, können in Italien auch öffentliche Körperschaften sanktioniert werden. Geldstrafen von bis zu 10 Millionen Euro oder, im Fall von Unternehmen, bis zu zwei Prozent des weltweiten Jahresumsatzes können verhängt werden.

Gestern um 15:00 Uhr hat die oberste italienische Aufsichtsbehörde ein kurzes Statement abgegeben. „Wir sind sehr besorgt über diese Datenpanne. Es ist ein Zeichen für die noch unzureichende Sensibilität für das Thema Datenschutz in unserem Land.“ Zudem versicherte die Behörde, dass Untersuchungen zur Ermittlung der Ursache sofort angegangen werden. Aufgabe des INPS ist es, den technischen Fehler zu ergründen und baldmöglichst zu beheben und die Sicherheit aller Daten zu gewährleisten.

Weitere Informationen zum Thema Datenschutz & Corona

Wir haben für Sie einige Informationen dazu zusammengefasst, was Sie im Home-Office und in Bezug auf Kommunikationstools wie Zoom, Microsoft Teams & Co. beachten sollten. Hier geht es zu unseren Webinaren, Artikeln und Dokumenten mit praxisnahen Tipps und Tricks dazu, wie Sie auch in Krisenzeiten datenschutzkonform bleiben.

Tags

Über den Autor

Patrick Agostini Patrick Agostini
Patrick Agostini

Patrick Agostini ist Diplomjurist (in Österreich und Italien) und internationaler Wirtschaftsjurist (LL. M.) mit Schwerpunkten im Wirtschaftsrecht und im Europarecht. Davor war er in Brüssel als Assistent eines europäischen Abgeordneten tätig, wo er verschiedene Fragestellungen zum Thema Datenschutz bearbeitete. Weitere Kenntnisse im Bereich der Compliance konnte er während seiner Arbeit beim internationalen Konzern Philips in Amsterdam erlangen, wo er für die datenschutzgerechte Abwicklung eines globalen Projektes verantwortlich war. Bei DataGuard war er als Privacy Consultant vornehmend für kleine und mittelständige Kunden verantwortlich und hat seine Expertise nicht nur in der professionellen Beratung, sondern auch in zahlreichen Webinaren und Blog-Artikeln weitergegeben.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren