1,5 Mio. Euro Bußgeld wegen massiven Lecks bei Gesundheitsdaten

Hintergrund des Bußgeldes

Das italienische Unternehmen Deadulus Biologie vertreibt Softwarelösungen für medizinische Analyselabore und fungiert somit als Auftragsverarbeiter gemäß Art. 28 DSGVO, das heißt, es verarbeitet Gesundheitsdaten im Auftrag der Labore. Im Februar 2021 wurde der französischen Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) die Kompromittierung der unglaublichen Menge von einer halben Million Betroffener bekannt. Die Daten umfassten neben Namen, Vornamen, Sozialversicherungsnummer, behandelndem Arzt und Behandlungsdatum insbesondere auch Daten von genetischen Krankheiten, Schwangerschaften und Therapien. Die CNIL stellte bei der Auditierung des Unternehmens fest, dass bei der Migration auf eine andere Software zahlreiche technische und organisatorische Sicherheitsverstöße begangen wurden:

• Fehlen eines spezifischen Verfahrens für Datenmigrationsvorgänge;
• fehlende Verschlüsselung der auf dem problematischen Server gespeicherten personenbezogenen Daten;
• keine automatische Löschung der Daten nach der Migration auf die andere Software;
• keine Authentifizierung über das Internet für den Zugriff auf den öffentlichen Bereich des Servers;
• Verwendung von Benutzerkonten, die von mehreren Mitarbeitern gemeinsam genutzt wurden, im privaten Bereich des Servers;
• Fehlen eines Verfahrens zur Überwachung und Meldung von Sicherheitswarnungen auf dem Server.

Zusätzlich soll das Unternehmen die ihm anvertrauten Daten entgegen Art. 29 DSGVO über die Anweisungen des Verantwortlichen hinaus verarbeitet haben.

Datenschutzrechtliche Einschätzung des Bußgeldes

Bei der Verarbeitung sensibler Daten ist umso mehr auf die Einhaltung von technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO zu achten. Die Aufsichtsbehörden führen hierzu immer wieder anlasslose Überprüfungen in Unternehmen durch. Es ist daher essentiell, diese Maßnahmen zu implementieren und entsprechende Nachweise griffbereit zu haben.

Bei der Verarbeitung von Gesundheitsdaten empfiehlt sich neben einer Pseudonymisierung der Daten ein Berechtigungskonzept sowie eine ausreichende Verschlüsselungstechnik. Bei der Datenweitergabe sollte eine Ende-zu-Ende-Verschlüsselung eingerichtet sein, so dass ein Datenabfluss auf dem Transportweg und bei unbefugtem Zugriff ausgeschlossen ist. Damit sichergestellt werden kann, dass tatsächlich nur der im Berechtigungskonzept ausgewiesene Berechtigte Zugriff zu den Daten hat, sollte eine Zwei-Faktor-Authentifizierung implementiert werden.

Dass der Auftragsverarbeiter auftragsbezogene Daten über die Weisungen des Verantwortlichen hinaus verarbeitet bzw. diese nicht rechtmäßig löscht, ist rechtswidrig. Dem kann man durch klare Regelungen im Auftragsverarbeitungsvertrag vorbeugen und mit entsprechenden Haftungsregelungen und Vertragsstrafen für den Fall der Missachtung beikommen. Denn zu 100% kann man einen solchen Missbrauch nie. Umso wichtiger ist es, dass man den Auftragsverarbeiter im Vorfeld einer regelmäßigen und strengen Kontrolle unterzieht. Das kann zunächst durch eine Prüfung der Verträge und TOM-Beschreibungen erfolgen. Bei Widersprüchen oder Zweifeln zu den gemachten Angaben sollten Nachweise verlangt oder ein anderer Dienstleister eingesetzt werden. Denken Sie auch daran, diese Prüfung in regelmäßigen Abständen zu wiederholen.

Fazit

Je sensibler die verarbeiteten Daten sind, desto höhere Anforderungen stellt die DSGVO an die Sicherheit der Verarbeitung. Nicht nur als Auftragsverarbeiter sollten Sie auf die Einhaltung Ihrer Pflichten im Bereich der Auftragsverarbeitung und TOM achten. Auch als Verantwortlicher sollten Sie sicherstellen, dass die Dienstleister, die Sie als Auftragsverarbeiter einsetzen, ihre Pflichten erfüllen. Anderenfalls droht auch Ihnen ein Bußgeld.