Die unabhängige französische Verwaltungsaufsichtsbehörde CNIL (Nationale Kommission für Informatik und Freiheit) hat und Free Mobile wegen Sicherheitsversagen, die mit einem schweren Kundendatenleck zusammenhängen, eine Geldstrafe von 42 Millionen Euro verhängt Free . Die Aufsichtsbehörde erklärte, ihre Untersuchung habe Mängel beim Schutz personenbezogener Daten der Unternehmen festgestellt, was zum Ausmaß des Vorfalls beiträgt.
CNIL verhängte Mobile eine Geldstrafe Free von 27 Millionen Euro und eine Geldstrafe von 15 Millionen Euro für Free . Die Strafen beziehen sich auf eine 2024 offengelegte Sicherheitsverletzung, als ein Angreifer interne Systeme zugriff und persönliche Informationen erhielt, die mit Millionen von Abonnenten verknüpft wurden. CNIL teilte mit, dass die offengelegten Daten Kundenkennungen und andere Kontodaten sowie in einigen Fällen auch Bankkontoinformationen wie IBANs enthielten.
Die Unternehmen hatten zuvor erklärt, dass der Eingriff einen unautorisierten Zugriff auf ein Abonnentenverwaltungstool beinhaltete. Sie sagten damals, dass Passwörter und Bankkartennummern nicht betroffen seien. Die anschließende Inspektion von CNIL konzentrierte sich darauf, ob vor dem Vorfall geeignete Sicherheitsmaßnahmen vorhanden waren und ob die Unternehmen ihren Verpflichtungen aus dem europäischen Datenschutzrecht nachgekommen sind.
CNIL erklärte, die Untersuchung habe Schwächen bei Zugangskontrollen und Überwachung festgestellt. Sie erklärte, dass die Authentifizierungs- und Sicherheitsverfahren nicht ausreichend robust seien, um unbefugten Zugriff zu verhindern, und die Erkennungsmaßnahmen seien nicht stark genug, um verdächtige Aktivitäten schnell zu erkennen. Die Aufsichtsbehörde erklärte, dass diese Lücken das Risiko erhöhten, dass Kundeninformationen abgerufen werden, und zur Auswirkung der Sicherheitspanne beitrugen.
Die Aufsichtsbehörde verwies außerdem auf Probleme mit der Datenaufbewahrung und erklärte, die Unternehmen hätten die Speicherdauer personenbezogener Daten, einschließlich Daten ehemaliger Kunden, nicht ausreichend begrenzt. Nach der DSGVO sind Organisationen verpflichtet, personenbezogene Daten nur so lange wie nötig aufzubewahren und geeignete technische sowie organisatorische Schutzmaßnahmen zum Schutz zu ergreifen.
CNIL erklärte, die Geldstrafen spiegeln die Anzahl der Betroffenen und die Sensibilität einiger der veröffentlichten Informationen wider. Die Regulierungsbehörde erklärte, die Entscheidung solle die Anforderungen an Telekommunikationsanbieter verstärken, Kundendaten zu sichern und sicherzustellen, dass zentrale Sicherheitsmaßnahmen konsequent angewendet werden.
Free und Free Mobile hat noch nicht bekannt gegeben, ob sie Berufung einlegen werden. CNIL erklärte, die Durchsetzungsmaßnahme folge dem Standardverfahren zur Untersuchung von Verstößen und zur Verhängung von Sanktionen, wenn Sicherheits- und Compliance-Verpflichtungen nicht erfüllt werden.