Ozadje
LfDI je v izjavi za medije (izjava je v nemščini) navedel, da je družba kontaktirala LfDI z obvestilom o kršitvi podatkov po napadu hekerjev poleti 2018. Napad je povzročil nepooblaščen dostop in razkritje osebnih podatkov približno 330.000 uporabnikov, vključno z gesli in e-poštnimi naslovi.
Po seznanitvi z incidentom je družba takoj obvestila svoje uporabnike o napadu na obsežen in popolnoma pregleden način (v skladu s členom 34 GDPR). V postopku z LfDI je družba po obvestilu o kršitvi podatkov nadzornemu organu (v skladu s členom 33 GDPR) razkrila svojo obdelavo podatkov in strukturo družbe ter svoje lastne varnostne napake na, kot so zapisali v svoji izjavi za javnost, "vzoren način." V tej preiskavi se je LfDI zavedala, da je družba shranila gesla v navadnem besedilu in v nešifriranem formatu, kar je pripomoglo k olajšanju napada.
Družba je v teku postopka izvajala celovite ukrepe za izboljšanje IT varnostnega sistema in uporabila najsodobnejše pripomočke na področju varnosti svojih uporabniških podatkov. Poleg tega se je družba zavezala, da bo v sodelovanju z LfDI izvajala dodatne ukrepe za nadaljnje izboljšanje stopnje varnosti podatkov.
Odločba LfDI
LfDI je ugotovila, da je družba s shranjevanjem gesel v navadnem besedilu zavestno kršila svojo obveznost, da ustrezno šifrira osebne podatke v skladu