Die französische Datenschutzbehörde CNIL hat gegen das IT-Dienstleistungsunternehmen NEXPUBLICA FRANCE ein Bußgeld in Höhe von 1.700.000 Euro verhängt. Grund für diese drastische Maßnahme war ein schwerwiegender Verstoß gegen die Sicherheit der Verarbeitung gemäß Art. 32 DSGVO im Zusammenhang mit der Software „PCRM“, einem Tool für das Kundenbeziehungsmanagement im Sozialsektor. Nachdem Kunden der CNIL Ende 2022 mehrere Datenpannen meldeten, bei denen Nutzer unbefugten Zugriff auf Dokumente Dritter erhielten, leitete die Behörde Untersuchungen ein. Diese brachten tiefgreifende Mängel in den technischen und organisatorischen Maßnahmen des Unternehmens zutage.
Hintergrund: Datenpanne als Auslöser
Der Fall wurde durch Meldungen von Kunden der NEXPUBLICA Ende 2022 initiiert. Nutzer des Portals hatten unbefugten Zugriff auf Dokumente Dritter erhalten. Die Untersuchungen der CNIL deckten zwei spezifische Vorfälle im Oktober und November 2022 auf, die auf fehlerhafte Parametrierungen durch das Unternehmen zurückzuführen seien. In einem Fall erhielten Nutzer Zugriff auf Tausende von Datensätzen in der Datenbank, wobei die mangelhafte Protokollierung es dem Unternehmen erschwerte, den genauen Umfang der betroffenen Daten nachträglich zu bestimmen. Da NEXPUBLICA auf die Entwicklung von IT-Systemen spezialisiert ist, wertete die Behörde die Unzulänglichkeit der Schutzmaßnahmen als besonders schwerwiegendes Versäumnis.
Verstoß gegen Artikel 32 DSGVO
Artikel 32 der DSGVO sieht vor, dass Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die CNIL stellte fest, dass die ergriffenen Maßnahmen unzureichend waren und NEXPUBLICA grundlegende Sicherheitsprinzipien sowie den aktuellen Stand der Technik missachtete.
Besonders belastend wirkte sich aus, dass strukturelle Sicherheitslücken bereits durch mehrere Auditberichte bekannt waren. Denn diese wurden über einen langen Zeitraum nicht behoben. So ignorierte das Unternehmen beispielsweise kritische Schwachstellen, die in einem automatisierten Code-Audit bereits im April 2021 identifiziert worden waren. Statt einer Besserung stieg die Zahl der kritischen Mängel in einem Folgeaudit sechs Monate später sogar an. Zudem setzte das Unternehmen veraltete kryptografische Verfahren wie die SHA-1-Funktion für TLS-Verbindungen ein, obwohl deren Unsicherheit seit 2017 dokumentiert ist. Es fehlte des Weiteren an einem Konzept der „Defense in Depth“. Ohne dieses sei nicht sichergestellt, dass der Ausfall einer Sicherheitskomponente durch andere Schutzebenen kompensiert werde.
Bemessung der Geldbuße und Einordnung
Bei der Festsetzung des Bußgelds auf 1,7 Millionen Euro berücksichtigte die CNIL die finanzielle Kapazität des Unternehmens NEXPUBLICA, die Sensibilität der betroffenen Gesundheitsdaten und die Anzahl der potenziell gefährdeten Personen. Das Unternehmen argumentierte vergeblich mit einer eingeschränkten Autonomie gegenüber dem Verantwortlichen. Die Behörde hielt fest, dass NEXPUBLICA als spezialisierter Dienstleister verpflichtet sei, aktiv angemessene technische Lösungen vorzuschlagen und umzusetzen. Die Entscheidung verdeutlicht die weitreichende Verantwortung von Auftragsverarbeitern, die eigene Software hosten. Die CNIL stellt klar, dass auch für Versäumnisse bei der Einbindung von technologischen Komponenten Dritter die volle Haftung übernommen werden muss.
Schlussfolgerungen für die Unternehmenspraxis
Unternehmen sollten aus diesem Fall lernen. Automatisierte Sicherheits-Audits erfüllen nur dann ihren Zweck, wenn die Ergebnisse konsequent und zeitnah in Korrekturmaßnahmen münden. Die bloße Kenntnis von Schwachstellen ohne Handeln kann von Aufsichtsbehörden als vorsätzliche oder grob fahrlässige Vernachlässigung der Sicherheitspflichten gewertet werden. Zudem zeigt die Entscheidung, dass auch die Nutzung von baukastenartigen Softwarekomponenten und das Management von Unterauftragsverarbeitern eine kontinuierliche Überwachung der gesamten Systemarchitektur erfordern. Vielmehr kann die Auswahl veralteter technischer Standards eine Verletzung der Sorgfaltspflichten darstellen, sofern moderne Alternativen zur Verfügung stehen.
Fazit
Das Bußgeld gegen NEXPUBLICA ist ein deutliches Signal, dass IT-Sicherheit kein optionales Extra, sondern eine zentrale gesetzliche Verpflichtung für jeden Dienstleister ist. Das hohe Bußgeld reflektiert die Erwartung der Behörden an professionelle IT-Unternehmen, ihre Expertise zur Sicherung sensibler Daten vulnerabler Gruppen einzusetzen. Für die Praxis bedeutet dies, dass eine kontinuierliche Überwachung des Stands der Technik und eine lückenlose Dokumentation der Fehlerbehebungen unerlässlich sind. Kontaktieren Sie uns noch heute, um Ihre IT- und Datenschutzorganisation rechtssicher aufzustellen und Sanktionen im Fall einer Datenpanne zu vermeiden.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
