• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
easy GDPR - we make compliance with GDPR easy

easyGDPR

We make implementing General Data Protection Regulation Easy

  • Home
  • Leistungen
    • Software
      • Quickcheck
      • easyGDPR lite
      • easyGDPR standard
      • Betroffenenanfragen
      • Sophos
    • IT Security
    • Netzwerk-Check
    • KMU DIGITAL 2.1
    • Beratungen
      • DSGVO
        • Beratung
        • Onlineberatung
      • Cybersecurity
    • Schulung
      • Datenschutz
      • Cybersecurity
  • Partner
    • Bonusprogramm
  • DSGVO
    • DSGVO News
    • FAQ
    • DSGVO Entscheidungen
    • DSGVO Strafen
    • DSGVO Gesetzestext
  • Shop
  • Kontakt
    • Kontakt
    • Anmeldung Schulung
    • Newsletteranmeldung
  • Login
    • Bonuspartner
    • easyGDPR Software
  • Deutsch
  • Englisch

Datenschutzverletzung durch Optical-Center

07/11/2018 by Andreas Schindler

Der Datenschutz und die damit einhergehenden Datenschutzverletzungen sind seit Inkrafttreten der DSGVO ein vielbeachtetes Thema. Wir möchten Ihnen heute einen Fall vorstellen, welcher bereits vor der DSGVO hohe Wellen geschlagen hat. Am 7. Juni 2018 wurde Optical-Center, ein französisches Unternehmen, zu einer Geldstrafe von € 250 000,- verurteilt.

Vorgeschichte

Optical-Center ist ein Unternehmen, welches optische Brillen für Kunden fertigt. Auf der Homepage des Unternehmens können Kunden entsprechende Sehbehelfe bestellen.
Im Jahr 2017 wurde die französische Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) informiert, dass die Website des Unternehmens nicht ausreichend abgesichert ist. Durch einfache Veränderung der Website-Adresse (URL) konnten Unbefugte auf personenbezogene Daten der Kunden zugreifen. Dabei war es nicht nur möglich Namen, Adressen und Telefonnummern, sondern auch medizinische Daten, welche die Kunden bei der Brillenbestellung angegeben hatten (z.B. Dioptrien, damit die Brille in der passenden Sehstärke hergestellt wird), abzufragen.

Das Unternehmen wurde durch die Datenschutzbehörde auf diese grobe Datenschutzverletzung hingewiesen. Es erfolgte eine umgehende Reaktion, indem das Unternehmen seinen Dienstleister damit beauftragte diese Lücke zu schließen.

Rechtliche Beurteilung

Ein Zugriff auf fremde Datensätze muss durch technische Maßnahmen unterbunden werden. Das System hätte somit überprüfen müssen, ob der Benutzer überhaupt die Berechtigung hat, die angeforderten Datensätze zu überprüfen und hätte dann gegebenenfalls den Zugriff verweigern müssen. Auf der Website von Optical-Center fehlte diese Überprüfung jedoch. Dabei handelt es sich nicht um einen kleinen Fehler, sondern um einen grundlegenden Architekturmangel in der verwendeten Software.
Die Datenschutzbehörde erkannte diesen Mangel und verhängte eine Geldstrafe von € 250 000,- und damit die höchste Strafe in deren Geschichte. Trotzdem schöpften die Datenschützer den Strafrahmen bei weitem nicht aus, liegt die mögliche Höchststrafe doch bei drei Millionen Euro. Das rasche Handeln von Optical-Center wirkte hier mit Sicherheit strafmildernd.
Obwohl die Strafe erst am 7. Juni 2018 verhängt wurde, griff die DSGVO in diesem Fall nicht. Da die Datenschutzverletzung im Jahr 2017 stattfand, griff das damalige Datenschutzgesetz. Erst für Verstöße ab dem 25. Mai 2018 greifen die Regeln und Strafen der DSGVO.

Fazit

Der Fall zeigt, dass gravierende Datenschutzverletzungen auch vor der DSGVO bereits empfindliche Geldstrafen nach sich ziehen konnten. Mit der DSGVO wurde der Strafrahmen nochmals weiter erhöht und es ist davon auszugehen, dass die verhängten Strafen steigen werden. Der Datenschutz und die Datensicherheit sind mit der Datenschutz-Grundverordnung in den Fokus gerückt, daher wird eine Datenschutzverletzung aufgrund mangelhafter Schutzvorkehrungen in Zukunft mit höheren Strafen bedacht werden.
Besonderes Augenmerk sollte auf Artikel 24 (Verantwortung des für die Verarbeitung Verantwortlichen) und Artikel 83 (Allgemeine Bedingungen für die Verhängung von Geldstrafen) der DSGVO gelegt werden.

Category iconDSGVO Strafen

Primary Sidebar

IT-Security Whitepaper Downloaden
  • Deutsch
  • Englisch
  • Jobangebote
  • Lizenzbedingungen für easyGDPR
  • AGB
  • Impressum
  • Datenschutzerklärung
  • DSGVO Begriffe
  • easyGDPR News
Auf unserer Website verwenden wir Cookies, um Ihnen alle relevanten Informationen anzuzeigen und Ihnen den bestmöglichen Komfort zu bieten. Durch den Klick auf “Alle Akzeptieren" sind Sie mit allen Cookies einverstanden. Unter Einstellungen können Sie auswählen, ob und welche Cookies Sie zulassen möchten.
EinstellungenAlle akzeptieren
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Analytics

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Analytische Cookies helfen uns zu verstehen, wie Sie als Besucher mit der Website interagieren. Aufgrund dessen erhalten wir INformationen wie Anzahl der Besucher, Absprungraten, Quellseiten usw.

Save & Accept