Bußgeld gegen Equifax Ltd.

Nachdem die US-amerikanische Federal Trade Commission bereits 2019 ein Bußgeld in Höhe von 508,1 Mio. USD gegen Equifax Ltd. (Finanzdienstleistungsunternehmen und Wirtschaftsauskunftei) wegen Datenschutzverstößen verhängt hatte, zog die britische Financial Conduct Authority (FCA) nach und belegte in 2023 die britische Tochtergesellschaft Equifax Ltd. mit einem Bußgeld.

Bereits im Jahr 2017 gelang es Hackern, auf die Server von Equifax Ltd. zuzugreifen, aufgrund von bekannten aber ungelösten IT-Sicherheitsmängeln und fehlenden grundlegenden Sicherheitsmaßnahmen. Die Hacker stahlen personenbezogene Daten von 147 Mio. Menschen, darunter von 13,8 Mio. Briten.

Für die Speicherung bei der Muttergesellschaft waren keine angemessenen Schutzmaßnahmen implementiert, zudem hatte die Muttergesellschaft die Daten nach Ende der Datenverarbeitung nicht gelöscht.

Der Datenschutz-Vorfall

Die FCA stellte fest, dass Equifax Ltd britische Kunden weder transparent noch wahrheitsgemäß über den Vorfall informiert hatte. Anfangs sprach das Unternehmen lediglich von einem Cyber-Sicherheitsvorfall in den USA, obwohl es zu diesem Zeitpunkt bereits vom Diebstahl britischer Kundendaten wusste. Erst nach wiederholten Anfragen der FCA im Oktober 2018 analysierte das Unternehmen den Vorfall genauer und stellte fest, dass nicht „nur“ einige hunderttausend sondern rund 12,3 Mio. Kunden betroffen waren.

Auch hatte Equifax Ltd auf die Beschwerden der Betroffenen nicht angemessen reagiert. Die Bearbeitung war an ein Drittunternehmen ausgelagert, das nicht zuverlässig arbeitete. Erst im Dezember 2020 wurde festgestellt, dass dieses Partnerunternehmen keine zuverlässigen Informationen über Art und Anzahl der Beschwerden liefern konnte.

Das ursprüngliche Bußgeld von etwa 16 Mio. Pfund wurde nach einer Einigung mit Equifax Ltd auf ca. 11 Mio. Pfund reduziert.

Quellen:

Pressemitteilung SecurityWeek Bußgeldbescheid FCA vom 17.10.2023