Der Datenschutz und die damit einhergehenden Datenschutzverletzungen sind seit Inkrafttreten der DSGVO ein vielbeachtetes Thema. Wir möchten Ihnen heute einen Fall vorstellen, welcher bereits vor der DSGVO hohe Wellen geschlagen hat. Am 7. Juni 2018 wurde Optical-Center, ein französisches Unternehmen, zu einer Geldstrafe von € 250 000,- verurteilt.
Vorgeschichte
Optical-Center ist ein Unternehmen, welches optische Brillen für Kunden fertigt. Auf der Homepage des Unternehmens können Kunden entsprechende Sehbehelfe bestellen.
Im Jahr 2017 wurde die französische Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) informiert, dass die Website des Unternehmens nicht ausreichend abgesichert ist. Durch einfache Veränderung der Website-Adresse (URL) konnten Unbefugte auf personenbezogene Daten der Kunden zugreifen. Dabei war es nicht nur möglich Namen, Adressen und Telefonnummern, sondern auch medizinische Daten, welche die Kunden bei der Brillenbestellung angegeben hatten (z.B. Dioptrien, damit die Brille in der passenden Sehstärke hergestellt wird), abzufragen.
Das Unternehmen wurde durch die Datenschutzbehörde auf diese grobe Datenschutzverletzung hingewiesen. Es erfolgte eine umgehende Reaktion, indem das Unternehmen seinen Dienstleister damit beauftragte diese Lücke zu schließen.
Rechtliche Beurteilung
Ein Zugriff auf fremde Datensätze muss durch technische Maßnahmen unterbunden werden. Das System hätte somit überprüfen müssen, ob der Benutzer überhaupt die Berechtigung hat, die angeforderten Datensätze zu überprüfen und hätte dann gegebenenfalls den Zugriff verweigern müssen. Auf der Website von Optical-Center fehlte diese Überprüfung jedoch. Dabei handelt es sich nicht um einen kleinen Fehler, sondern um einen grundlegenden Architekturmangel in der verwendeten Software.
Die Datenschutzbehörde erkannte diesen Mangel und verhängte eine Geldstrafe von € 250 000,- und damit die höchste Strafe in deren Geschichte. Trotzdem schöpften die Datenschützer den Strafrahmen bei weitem nicht aus, liegt die mögliche Höchststrafe doch bei drei Millionen Euro. Das rasche Handeln von Optical-Center wirkte hier mit Sicherheit strafmildernd.
Obwohl die Strafe erst am 7. Juni 2018 verhängt wurde, griff die DSGVO in diesem Fall nicht. Da die Datenschutzverletzung im Jahr 2017 stattfand, griff das damalige Datenschutzgesetz. Erst für Verstöße ab dem 25. Mai 2018 greifen die Regeln und Strafen der DSGVO.
Fazit
Der Fall zeigt, dass gravierende Datenschutzverletzungen auch vor der DSGVO bereits empfindliche Geldstrafen nach sich ziehen konnten. Mit der DSGVO wurde der Strafrahmen nochmals weiter erhöht und es ist davon auszugehen, dass die verhängten Strafen steigen werden. Der Datenschutz und die Datensicherheit sind mit der Datenschutz-Grundverordnung in den Fokus gerückt, daher wird eine Datenschutzverletzung aufgrund mangelhafter Schutzvorkehrungen in Zukunft mit höheren Strafen bedacht werden.
Besonderes Augenmerk sollte auf Artikel 24 (Verantwortung des für die Verarbeitung Verantwortlichen) und Artikel 83 (Allgemeine Bedingungen für die Verhängung von Geldstrafen) der DSGVO gelegt werden.