Doppelte Strafe: Verantwortlicher und Auftragsverarbeiter haften
Das Unternehmen „Fortum Marketing and Sales“ wollte die Leistung seines Online-Nutzerportals erhöhen und beauftragte dafür den IT-Dienstleister „Pika“. Bei der Beauftragung geht noch alles mit „rechten Dingen“ zu, doch dann der Schock: Datenpanne! Wegen einer nicht ordnungsgemäß geprüften Datenbank fanden sich Kundendaten im Netz wieder und konnten ohne viel Aufwand kopiert werden. Dritte ließen sich diese Chance natürlich nicht entgehen und schöpften die Daten ab. Die Behörde strafte nicht nur den Auftragsverarbeiter, sondern auch den Verantwortlichen – und diesen sogar mit einer horrenden Summe von über einer Million Euro! Doch wie konnte das trotz existierenden Datenschutz- und IT-Richtlinien passieren? Und warum hafteten beide Unternehmen?
Das Problem
Im Zuge der vermeintlichen Verbesserung der technischen Infrastruktur Fortums wurden Änderungen an eben jener durchgeführt. Der IT-Dienstleister hatte zwar nicht nur unternehmenseigene Sicherheitsrichtlinien und vertraglich festgelegte Anforderungen von Fortum einzuhalten, bei der Anlegung der Kundendatenbank auf einem neuen Server wurde aber beides nicht beachtet. Weder war der Server ausreichend geschützt, noch wurde die Datenbank mit Dummy-Daten getestet. Die Datenbank wurde stattdessen sofort mit echten Kundendaten in Betrieb genommen, was sich als Fehler herausstellen sollte, da sich die Daten frei zugänglich im Netz wiederfanden. Und schlimmer noch: Pika informierte ihre Kunden nicht selbst über die Datenpanne. Das mussten zwei Internetnutzer übernehmen!
Die Behörde entscheidet
Fortum versuchte sich in der Untersuchung der Datenschutzbehörde mit dem Verweis auf ihre vertraglich festgelegten Anforderungen zu verteidigen, schließlich wurde der Meinung des Unternehmens nach die Datenpanne von ihrem Auftragsverarbeiter verursacht. Die polnische Datenschutzbehörde stellte aber fest, dass Fortum den Auftragsverarbeiter auf die Wirksamkeit von technischen und organisatorischen Maßnahmen zu prüfen hat. Und das fortlaufend. Fortum versäumte außerdem, die Einführung der Maßnahmen sicherzustellen, was die Behörde auch als Pflicht des Verantwortlichen sieht. Beide Firmen verstießen also gegen die DSGVO – Pika wegen der Nichtergreifung geeigneter Maßnahmen und Fortum, da sie vernachlässigten, (nicht) eingeführte Sicherheitsmaßnahmen zu überprüfen. Die Folge? Fast 1,9 Millionen Euro Strafe für Fortum Marketing and Sales und eine Strafe von über 55.000 Euro für Pika.
Praxistipps
• Prüfen Sie technische Maßnahmen auf ausreichende Sicherheit bei Ihren IT-Dienstleistern regelmäßig.
• Vertrauen Sie nicht blind auf die vertraglich zugesicherten technischen und organisatorischen Maßnahmen.
• Lassen Sie nachweislich neue IT-Systeme/Applikationen immer vor ihrer Einführung mit Dummy-Daten testen!
Und fragen Sie am besten uns, wenn Sie Fragen haben! 😉