DSGVO-Briefing

Die CNIL verhängt insgesamt 42 Mio. EUR-Bußgeld gegen Free & Free Mobile nach Cyberangriff, Hacker stehlen potentiell Game-Quellcodes, BGH urteilt: Versicherungs-Tarifdaten sind nicht automatisch personenbezogene Daten.

Insgesamt 42 Mio. EUR-Bußgeld für Free & Free Mobile nach Cyberangriff 2024.

Im Oktober 2024 gab es einen Angriff auf ein Verwaltungs-Tool des zweitgrößten französischen Internet- und Telekom-Providers Free, einer Tochterfirma von Iliad. Dabei hatten die Täter Zugriff auf Kundenkonten und die dort gespeicherten Daten von 24 Mio. Personen, darunter auch Bankverbindungen.

Im Januar 2026 schloss die französische Datenschutzbehörde eine Untersuchung der betroffenen Tochterfirmen, Free und Free Mobile, ab. Die CNIL stellte fest, dass die von Free Mobile und Free implementierten technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten Daten gravierende Mängel aufwiesen. So war die Authentifizierungsmethode des VPN-Systems, das vor allem zur Remote-Arbeit genutzt wurde, nicht ausreichend. Darüber hinaus erwiesen sich die Erkennungssysteme für Unregelmäßigkeiten in Systemen und Netzwerk als unwirksam.

Zusätzlich kritisierte die Datenschutzbehörde, dass die von dem Datendiebstahl betroffenen Kunden nicht angemessen informiert worden waren. Free Mobile/Free versandten E-Mails, in denen von der DSGVO verlangte Informationen fehlten.

Die CNIL verhängte zwei separate Strafen: 27 Mio. EUR gegen Free Mobile und 15 Mio. EUR gegen Free.

Hacker nutzen Schwachstelle, stehlen möglicherweise Ubisoft-Quellcode.

Ende Dezember 2025 hat die kritische MongoDB‑Schwachstelle CVE‑2025‑14847 ("MongoBleed") den französischen Spieleentwickler Ubisoft schwer getroffen. Die Lücke legte Speicherinhalte ungeschützter Datenbanken offen, darunter Zugangsdaten und Tokens.

Am 27. Dezember kam es in Tom Clancy’s Rainbow Six Siege zu massiven Störungen: Spieler erhielten unrechtmäßig Milliarden R6‑Credits, Renown und seltene Entwickler‑Skins. Zudem wurden Accounts gesperrt und Bannlisten manipuliert. Ubisoft trennte Server und Marktplatz vom Netz, kündigte Rollbacks an und hob fehlerhafte Strafen auf.

Parallel wurden interne Git‑Repositories kompromittiert. Angreifer stahlen mehrere Terabyte Quellcode – von älteren Titeln bis zu laufenden Projekten – und stellten Erpressungsforderungen.

Nach bisherigen Erkenntnissen nutzten die Täter die offengelegten Datenbanken als Einstiegspunkt, um Backend‑Systeme zu infiltrieren und sowohl Spielwährung als auch geistiges Eigentum abzugreifen. Ubisoft bestätigte den Angriff auf Rainbow Six Siege, äußerte sich jedoch nicht zum möglichen Code‑Diebstahl.

BGH-Urteil: Kein automatisches Auskunftsrecht zu versicherungsbezogenen Tarif- und Beitragsdaten.

Der Kläger ist seit 2010 privat krankenversichert und hatte die von seiner Versicherung verschickten Schreiben über seitdem durchgeführte Beitragsanpassungen nicht mehr vorliegend. Nach erfolgloser Aufforderung klagte er auf Auskunft. In der Berufung hatte ein auf Art. 15 DSGVO gestützter Hilfsantrag teilweise Erfolg.

Das Berufungsgericht bejahte einen Auskunftsanspruch aus Art. 15 DSGVO, da die begehrten Informationen zum Beitrags- und Tarifverlauf personenbezogene Daten seien. Man verwies auf den weiten Datenbegriff, die individuelle Betroffenheit des Versicherungsnehmers und die Abhängigkeit von dessen Vertragserklärungen; datenschutzfremde Zwecke seien unerheblich.

Der Bundesgerichtshof hob diese Entscheidung auf. Art. 15 sei demnach zwar zeitlich und persönlich anwendbar und kein Rechtsmissbrauch ersichtlich, die Begründung des Berufungsgerichts trage jedoch den Personenbezug nicht. Informationen über Beitragshöhen, Anpassungszeitpunkte, Tarifwechsel und -beendigungen seien nicht allein deshalb personenbezogen, weil sie Auswirkungen auf das Versicherungsverhältnis hätten.

Erforderlich sei eine Identifizierbarkeit der Person anhand der Daten. Diese habe das Berufungsgericht nicht festgestellt. Die Sache wurde zur weiteren Aufklärung zurückverwiesen.