Erste Maximal-Busse für Equifax

Der grosse Hack bei der US-Kredit-Rating-Firma Equifax hat nun erstmals juristische Folgen für das Unternehmen. Hacker hatten letztes Jahr bei Equifax Zugriff auf persönliche Daten von rund 146 Millionen Menschen weltweit erlangt. Die Betroffenen befanden sich hauptsächlich in den USA, aber es waren auch rund 16 Millionen Bürger Grossbritanniens darunter. Bei den meisten davon konnten die Angreifer nur Namen und Geburtsdaten abgreifen, bei rund 640'000 aber auch Telefonnummern und bei weiteren 20'000 zusätzlich Fahrausweisnummern.
 
Deshalb hat nun das britische Information Commissioner's Office (ICO) Equifax zur Zahlung einer Busse von 500'000 Pfund verurteilt. Das ICO befand, das Equifax beim Schutz der Daten nachlässig gehandelt habe. Unter anderem, weil Equifax schon im März 2017 vom Department of Homeland Security auf die kritische Lücke in seinem Netzwerk hingewiesen worden sei, die kurz darauf von den Hackern ausgenützt wurde.
 
Equifax habe es aber unterlassen, rechtzeitig geeignete Massnahmen zur Schliessung der Lücke zu ergreifen, so dass die Angreifer mehr als zwei Monate lang Zugriff auf die Systeme hatten.
 
500'000 Pfund ist die Maximalbusse, die das ICO in diesem Fall verhängen konnte. Hätte 2017 schon die neue EU-Datenschutzgrundverordnung (DSGVO) gegolten, hätte die Busse wesentlich empfindlicher ausfallen können. Im Rahmen der DSGVO sind Bussen bis zu 20 Millionen Euro oder bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens möglich. Dies gilt nicht nur für Verstösse gegen die Privatsphäre, sondern auch bei ungenügender Sicherung von gespeicherten persönlichen Daten. (hjm)