Nicht am falschen Ende sparen, sondern Datenschutz auch im Update-Management leben

Ohne Software-Updates Strafen, Imageverlust und Diebstahl riskieren

Die niedersächsische Datenschutzbeauftragte hat im vergangenen Jahr Geldbußen in Höhe von 10,56 Millionen Euro verhängt. Finanzmittel, die den betroffenen Unternehmen an anderen Stellen für Investitionen fehlen dürften. Besonders ärgerlich hierbei: Die meisten Strafzahlungen sind vermeidbar. „Das Thema Datenschutz darf nicht unter Verschiedenes behandelt werden, sondern gehört in die Pole-Position eines jeden Unternehmens. Sensibilität und Ernsthaftigkeit im Umgang mit den Regeln der DSGVO sind wichtig, um das eigene Unternehmen datenschutzkonform zu gestalten und Strafen zu vermeiden“, erklärt der erfahrene Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. Dazu zählen auch technisch-organisatorische Maßnahmen. Ein Beispiel: Ein Unternehmen aus dem Bereich der Arzneimittelherstellung bekam dies jetzt zu spüren: Es wurde zu einer Strafzahlung verpflichtet. Was war geschehen?

Der Arzneimittelhersteller betrieb einen Online-Shop. Das Shopsystem war vollkommen veraltet und entsprach nicht mehr dem Stand der Technik. Folge: Erhebliche Sicherheitslücken. Für Fremde wäre es mit geringem Aufwand möglich gewesen, in den Besitz der Zugangsdaten aller in der Software registrierten Personen zu kommen.

Auf der Website wurde laut dem Tätigkeitsbericht der Landesdatenschutzbeauftragten die Webshop-Anwendung „xt:Commerce in der Version 3.0.4 SP2.1“ verwendet. Schon seit 2014 wurde dieses Programm vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Vor den Sicherheitslücken, die aufgrund der fehlenden Aktualisierung zustande kamen, hatte der Hersteller der Software gewarnt. Das Unternehmen unternahm aber nichts und betrieb den Online-Shop mit veraltetem System munter weiter.

Ein klarer Verstoß gegen die Regeln der Europäischen Datenschutz-Grundverordnung (DSGVO). Dort ist geregelt, dass sich derjenige, der personenbezogene Daten als Verantwortlicher oder Auftragsverarbeiter verarbeitet, mit den technischen-organisatorischen Maßnahmen (TOM) auseinandersetzen muss. Durch diese bewusste Beschäftigung mit den TOM sollen Risiken und Schwachstellen für personenbezogene Daten bereits vor der Verarbeitung überprüft, abgewogen und durch passgenaue Maßnahmen reduziert werden.

Diese Maßnahmen müssen dabei nicht nur dann einen ausreichenden Schutz gewährleisten, wenn sie in Kraft gesetzt werden (Beispiel: Beim Start des Online-Shops), sondern auch stets zu dem Zeitpunkt, zu dem die Datenverarbeitung stattfindet. Konkret: Der Arzneimittelhersteller hätte seinen Online-Shop regelmäßig technisch-organisatorisch überprüfen und aktualisieren müssen, um dadurch die Gefahren für die personenbezogenen Daten zu minimieren. Denn klar ist: Die Technik entwickelt sich ebenso weiter wie sich auch die Gefahren verändern.

Den Pflichten im Bereich Datenschutz wurde das Unternehmen nicht gerecht. Stattdessen wurde eine Strafzahlung für die Vernachlässigung und Nicht-Beachtung der DSGVO-Regeln verhängt. „Die Aktualisierung sowie die regelmäßige Überprüfung der technisch-organisatorischen Maßnahmen hätten einen Bruchteil des Bußgeldes gekostet“, unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein. Außerdem haben solche Strafen auch oft negativen Einfluss auf das Image des Unternehmens. Daher sollte der Datenschutzbeauftragte stets in solche Prozesse mit eingebunden werden.