Der Arzneimittelhersteller betrieb einen Online-Shop. Das Shopsystem war vollkommen veraltet und entsprach nicht mehr dem Stand der Technik. Folge: Erhebliche Sicherheitslücken. Für Fremde wäre es mit geringem Aufwand möglich gewesen, in den Besitz der Zugangsdaten aller in der Software registrierten Personen zu kommen.
Auf der Website wurde laut dem Tätigkeitsbericht der Landesdatenschutzbeauftragten die Webshop-Anwendung „xt:Commerce in der Version 3.0.4 SP2.1“ verwendet. Schon seit 2014 wurde dieses Programm vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Vor den Sicherheitslücken, die aufgrund der fehlenden Aktualisierung zustande kamen, hatte der Hersteller der Software gewarnt. Das Unternehmen unternahm aber nichts und betrieb den Online-Shop mit veraltetem System munter weiter.
Ein klarer Verstoß gegen die Regeln der Europäischen Datenschutz-Grundverordnung (DSGVO). Dort ist geregelt, dass sich derjenige, der personenbezogene Daten als Verantwortlicher oder Auftragsverarbeiter verarbeitet, mit den technischen-organisatorischen Maßnahmen (TOM) auseinandersetzen muss. Durch diese bewusste Beschäftigung mit den TOM sollen Risiken und Schwachstellen für personenbezogene Daten bereits vor der Verarbeitung überprüft, abgewogen und durch passgenaue Maßnahmen reduziert werden.
Diese Maßnahmen müssen dabei nicht nur dann einen ausreichenden Schutz gewährleisten, wenn sie in Kraft gesetzt werden (Beispiel: Beim Start des Online-Shops), sondern auch stets zu dem Zeitpunkt, zu dem die Datenverarbeitung stattfindet. Konkret: Der Arzneimittelhersteller hätte seinen Online-Shop regelmäßig technisch-organisatorisch überprüfen und aktualisieren müssen, um dadurch die Gefahren für die personenbezogenen Daten zu minimieren. Denn klar ist: Die Technik entwickelt sich ebenso weiter wie sich auch die Gefahren verändern.
Den Pflichten im Bereich Datenschutz wurde das Unternehmen nicht gerecht. Stattdessen wurde eine Strafzahlung für die Vernachlässigung und Nicht-Beachtung der DSGVO-Regeln verhängt. „Die Aktualisierung sowie die regelmäßige Überprüfung der technisch-organisatorischen Maßnahmen hätten einen Bruchteil des Bußgeldes gekostet“, unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein. Außerdem haben solche Strafen auch oft negativen Einfluss auf das Image des Unternehmens. Daher sollte der Datenschutzbeauftragte stets in solche Prozesse mit eingebunden werden.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de