Connecticut gibt Vergleich wegen Datenschutzverletzung bei Carnival Cruise Line im Jahr 2019 bekannt

Pressemeldungen

22.06.2022

Connecticut ist Co-Leader bei einem Vergleich in Höhe von 1,25 Millionen US-Dollar wegen Datenschutzverletzung der Carnival Cruise Line im Jahr 2019

Connecticut erhält 67.505 $

(Hartford, CT) – Generalstaatsanwalt William Tong gab heute bekannt, dass Connecticut zusammen mit 45 anderen Generalstaatsanwälten einen Vergleich über 1,25 Millionen US-Dollar mit der in Florida ansässigen Carnival Cruise Line erhalten hat, der auf eine Datenschutzverletzung im Jahr 2019 zurückzuführen ist, bei der die personenbezogenen Daten von etwa 180.000 Personen betroffen waren Mitarbeiter und Kunden von Carnival im ganzen Land. Connecticut erhält 67.505,86 $ aus dem Vergleich.

Im März 2020 meldete Carnival öffentlich eine Datenschutzverletzung, bei der sich ein nicht autorisierter Akteur Zugang zu bestimmten E-Mail-Konten von Carnival-Mitarbeitern verschaffte. Der Verstoß umfasste Namen, Adressen, Passnummern, Führerscheinnummern, Zahlungskarteninformationen, Gesundheitsinformationen und eine relativ kleine Anzahl von Sozialversicherungsnummern. Mehr als 1.200 Einwohner von Connecticut waren betroffen.

An die Generalstaatsanwaltschaften gesendete Benachrichtigungen über Datenschutzverletzungen besagten, dass Carnival erstmals Ende Mai 2019 auf verdächtige E-Mail-Aktivitäten aufmerksam wurde – etwa 10 Monate, bevor Carnival die Datenschutzverletzung meldete. Es folgte eine mehrstaatliche Untersuchung, die sich auf die E-Mail-Sicherheitspraktiken von Carnival und die Einhaltung der staatlichen Vorschriften zur Meldung von Verstößen konzentrierte.

„Unstrukturierte“ Datenschutzverletzungen wie die Karnevalsverletzung beinhalten personenbezogene Daten, die per E-Mail und anderen unorganisierten Plattformen gespeichert werden. Unternehmen haben keinen Einblick in diese Daten, was die Meldung von Sicherheitsverletzungen schwieriger macht – und das Verbraucherrisiko steigt mit Verzögerungen.

„Es ist wichtig, dass die Einwohner von Connecticut schnell benachrichtigt werden, wenn ihre Informationen aufgrund einer Datenschutzverletzung gefährdet sein könnten.“ sagte Generalstaatsanwalt Tong. „Dieser Vergleich sendet die Botschaft aus, dass Unternehmen eine Bestandsaufnahme dessen machen müssen, welche Informationen sie pflegen, und angemessene Schritte unternehmen müssen, um diese Informationen zu schützen. Das Speichern großer Informationsmengen in unüberschaubaren Formaten wie E-Mail entschuldigt keine Verzögerungen bei der Benachrichtigung der Generalstaatsanwälte oder betroffener Personen über einen Verstoß.“

siehe auch  Verteidigungsexperte Ko Colijn über die NATO als Puffer gegen Russland | JETZT

Nach dem Verstoß gegen Carnival verkürzte Connecticut die Frist für Unternehmen zur Meldung einer Datenschutzverletzung gemäß dem staatlichen Gesetz zur Meldung von Datenschutzverletzungen von 90 Tagen auf 60 Tage.

Im Rahmen des Vergleichs hat Carnival einer Reihe von Bestimmungen zugestimmt, die darauf abzielen, seine E-Mail-Sicherheit und die Reaktion auf Sicherheitsverletzungen in Zukunft zu verbessern.

Dazu gehören:

-Implementierung und Pflege eines Reaktions- und Benachrichtigungsplans bei Sicherheitsverletzungen;
-Anforderungen an E-Mail-Sicherheitsschulungen für Mitarbeiter, einschließlich spezieller Phishing-Übungen;
-Multi-Faktor-Authentifizierung für Remote-E-Mail-Zugriff;
-Passwortrichtlinien und -verfahren, die die Verwendung starker, komplexer Passwörter, Passwortrotation und sichere Passwortspeicherung erfordern;
-Wartung verbesserter Verhaltensanalysetools zur Protokollierung und Überwachung potenzieller Sicherheitsereignisse im Unternehmensnetzwerk; und
-Im Einklang mit früheren Einigungen bei Datenschutzverletzungen, die einer unabhängigen Bewertung der Informationssicherheit unterzogen werden.

Connecticut leitete die Untersuchung in mehreren Bundesstaaten gemeinsam mit Florida und Washington, unterstützt von Alabama, Arizona, Arkansas, Ohio und North Carolina, und unterstützt von Alaska, Colorado, Delaware, District of Columbia, Georgia, Hawaii, Idaho, Indiana, Iowa, Kansas , Kentucky, Louisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New Mexico, New York, North Dakota, Oklahoma, Oregon, Pennsylvania, Rhode Island, South Carolina, South Dakota , Tennessee, Utah, Vermont, Virginia, Washington, West Virginia, Wisconsin und Wyoming.

Die stellvertretenden Generalstaatsanwälte Aine DeMeo und John Neumon sowie Michele Lucan, Leiterin der Datenschutzabteilung, unterstützten den Generalstaatsanwalt in dieser Angelegenheit.

Twitter: @AGWilliamTong
Facebook: CT Generalstaatsanwalt
Medienkontakt:

Elisabeth Benton
[email protected]

Verbraucheranfragen:

860-808-5318
[email protected]

Newsletter

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.