Mit 6,5 Mio. Euro kassierte das höchste Bußgeld im November die spanische The Phone House S.L. Ausgangspunkt war eine Ransomware-Attacke, die das Unternehmen an die spanische Aufsichtsbehörde Agencia Española de Protección de Datos (AEPD) gemeldet hatte. Von dem Angriff waren rund 13 Mio. Kunden betroffen, teils wurden auch deren Daten offengelegt. Darunter befanden sich Adressen, Telefonnummern, Ausweisdokumente und Bankverbindungen. Bei der Prüfung des Vorfalls stellte die AEPD fest, dass Mängel der technischen und organisatorischen Maßnahmen (TOM) maßgeblich zu dem Vorfall beigetragen hatten. Insgesamt hätten keine hinreichenden Maßnahmen bestanden, um sich gegen bestimmte Risiken aus Cyberangriffen abzusichern. Die Strafe setzt sich aus zwei Bußgeldern von je 4 Mio. und 2,5 Mio. Euro zusammen. Ein Einspruch gegen den Bußgeldbescheid wurde bereits abgelehnt.

Ärzte und andere Behandelnde sind nach § 603 des bürgerlichen Gesetzbuchs (BGB) dazu verpflichtet, die Patientenakte für eine Dauer von 10 Jahren aufzubewahren, soweit nicht nach anderen Vorschriften andere Aufbewahrungsfristen gelten.

Mit weiteren Datenschutzbehörden hat die LDI NRW eine Handreichung für Verantwortliche für den Einsatz von MS 365 erstellt.

Das Verwaltungsgericht Ansbach verurteilte die bayrische Datenschutzaufsichtsbehörde zum Eingreifen.