Der Arzneimittelhersteller betrieb einen Online-Shop. Das Shopsystem war vollkommen veraltet und entsprach nicht mehr dem Stand der Technik. Folge: Erhebliche Sicherheitslücken. Für Fremde wäre es mit geringem Aufwand möglich gewesen, in den Besitz der Zugangsdaten aller in der Software registrierten Personen zu kommen.
Auf der Website wurde laut dem Tätigkeitsbericht der Landesdatenschutzbeauftragten die Webshop-Anwendung „xt:Commerce in der Version 3.0.4 SP2.1“ verwendet. Schon seit 2014 wurde dieses Programm vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Vor den Sicherheitslücken, die aufgrund der fehlenden Aktualisierung zustande kamen, hatte der Hersteller der Software gewarnt. Das Unternehmen unternahm aber nichts und betrieb den Online-Shop mit veraltetem System munter weiter.
Ein klarer Verstoß gegen die Regeln der Europäischen Datenschutz-Grundverordnung (DSGVO). Dort ist geregelt, dass sich derjenige, der personenbezogene Daten als Verantwortlicher oder Auftragsverarbeiter verarbeitet, mit den technischen-organisatorischen Maßnahmen (TOM) auseinandersetzen muss. Durch diese bewusste Beschäftigung mit den TOM sollen Risiken und Schwachstellen für personenbezogene Daten bereits vor der Verarbeitung überprüft, abgewogen und durch passgenaue Maßnahmen reduziert werden.
Diese Maßnahmen müssen dabei nicht nur dann einen ausreichenden Schutz gewährleisten, wenn sie in Kraft gesetzt werden (Beispiel: Beim Start des Online-Shops), sondern auch stets zu dem Zeitpunkt, zu dem die Datenverarbeitung stattfindet. Konkret: Der Arzneimittelhersteller hätte seinen Online-Shop regelmäßig technisch-organisatorisch überprüfen und aktualisieren müssen, um dadurch die Gefahren für die personenbezogenen Daten zu minimieren. Denn klar ist: Die Technik entwickelt sich ebenso weiter wie sich auch die Gefahren verändern.
Den Pflichten im Bereich Datenschutz wurde das Unternehmen nicht gerecht. Stattdessen wurde eine Strafzahlung für die Vernachlässigung und Nicht-Beachtung der DSGVO-Regeln verhängt. „Die Aktualisierung sowie die regelmäßige Überprüfung der technisch-organisatorischen Maßnahmen hätten einen Bruchteil des Bußgeldes gekostet“, unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein. Außerdem haben solche Strafen auch oft negativen Einfluss auf das Image des Unternehmens. Daher sollte der Datenschutzbeauftragte stets in solche Prozesse mit eingebunden werden.