Britische Behörde wegen mangelndem Datenschutz gegenüber Glücksspiel-Branche verwarnt
Posted on: 08/11/2022, 10:10h.
Last updated on: 08/11/2022, 10:21h.
In Großbritannien steht das Bildungsministerium wegen der Weitergabe sensibler Daten an Glücksspiel-Anbieter in der Kritik. Das Amt des Datenschutzbeauftragten (ICO) erklärte am Sonntag, dass es das Department for Education (DfE) wegen des Missbrauchs der persönlichen Daten von bis zu 28 Millionen britischen Minderjährigen offiziell verwarnt [Seite auf Englisch] habe.
Zuvor habe dem Datenschutzbeauftragten zufolge eine ICO-Untersuchung die mangelhafte Sorgfaltspflicht im Bildungsministerium erkannt. Diese habe dazu geführt, das Unbefugte Zugang zur Datenbank erhalten hätten. Dort seien Daten junger Briten ab 14 Jahre gespeichert, die das externe Unternehmen für Glücksspiel-Zwecke verwendet habe.
Altersprüfung für Online-Glücksspiel
So habe der IT-Dienstleister Trustopia anhand der Datenquelle überprüft, ob Spieler, die Konten bei Online-Glücksspiel-Anbietern eröffneten, über 18 Jahre alt sind. Dies stelle nach Angaben des ICO einen groben Verstoß gegen den Datenschutz dar. Demnach solle lediglich Bildungsanbietern der Zugriff auf das System erlaubt sein.
Laut ICO habe Trustopia zwischen September 2018 und Januar 2020 Zugriff auf die Datenbank gehabt. In diesem Zeitraum seien 22.000 Altersprüfungen durchgeführt worden. Gegen den Datendienstleister sei kein Verfahren eingeleitet worden, da das Unternehmen mittlerweile nicht mehr existiere.
Gegenüber der Behörde habe Trustopia erklärt, im Bildungsbereich tätig zu sein. Das DfE hätte diese Aussage nach Ansicht des Datenschutzbeauftragten jedoch genauer prüfen müssen, ehe es dem Unternehmen Zugang zur Datenbank erteilte.
Großbritanniens oberster Datenschützer John Edwards kritisierte:
Niemand muss davon überzeugt werden, dass eine Datenbank mit den Daten von Schülern, die zur Unterstützung von Glücksspiel-Unternehmen verwendet wird, inakzeptabel ist. Unsere Untersuchung hat ergeben, dass die vom Bildungsministerium eingeführten Verfahren mangelhaft waren. Die Daten wurden missbraucht, und das Ministerium wusste nicht einmal, dass es ein Problem gab, bis eine überregionale Zeitung sie informierte.
Aus diesem Grund habe das Amt der Behörde nun eine Rüge erteilt. Des Weiteren seien deutliche Maßnahmen zur Verbesserung der Datenschutzpraktiken im DfE angemahnt worden. Diese sollten dazu beitragen, die Daten von Teenagern künftig angemessen zu schützen.
Strategiewechsel bewahrt Behörde vor Millionenstrafe
Zugleich betonte das Amt für Datenschutz, dass das DfE mit der Rüge relativ glimpflich davonkomme. Hätte es sich bei ihm nicht um eine Behörde, sondern ein Unternehmen gehandelt, wäre die Strafe weitaus härter ausgefallen.
Nach dem regulären Strafenkatalog hätte das ICO dem Ministerium eine Geldbuße von bis zu 10 Mio. GBP (11,5 Mio. Euro) auferlegen können. Zu verdanken habe das DfE die Milde einem im Juni 2022 eingeleiteten Strategiewechsel.
John Edwards erklärte nun:
Ich habe mich entschlossen, die Geldstrafe nicht zu verhängen, da diese an die Regierung zurückgeflossen und die Auswirkungen somit minimal gewesen wären. Das sollte aber nicht davon ablenken, wie schwerwiegend die von uns aufgezeigten Fehler waren und wie dringend sie vom Bildungsministerium behoben werden mussten.
Das ICO hält dem Ministerium zugute, dass es seit dem Vorfall 2.600 der ursprünglich über 12.000 Organisationen den Zugang zur Datenbank entzogen habe.
Darüber hinaus seien die Registrierungsvorgaben verschärft worden. Ob diese Maßnahmen ausreichen, die Datenbank künftig vor weiterem Missbrauch zu schützen, wird sich zeigen.
No comments yet