DSVGO-Bußgeld in Millionenhöhe: Französische Aufsichtsbehörde verhängt Sanktion gegen IT-Dienstleister

In einer aktuellen Entscheidung hat die französische Datenschutzbehörde CNIL eine Geldbuße in Höhe von 1,700,000 € gegen das IT-Beratungshaus NEXPUBLICA FRANCE in ihrer Rolle als Auftragsverarbeiter verhängt. Der Fall verdeutlicht die weitreichenden Sicherheitsanforderungen an Software-Entwickler und IT-Dienstleister, nicht nur im Bereich öffentlicher Portale.

1. Sachverhalt

Die Gesellschaft NEXPUBLICA entwickelt und betreibt ein öffentliches CRM, das von französischen Behörden genutzt wird. Über dieses Portal verwalten Menschen mit Behinderungen und deren Familien Anträge auf Sozialleistungen und Unterstützung. Im Oktober und November 2022 kam es zu zwei Sicherheitsvorfällen:

Niklas Niggemeier
Niklas Niggemeier
Datenschutz Berater
  • Aufgrund falscher Einstellungen konnten Nutzer auf Dokumente und Daten Dritter zugreifen, ohne dazu berechtigt zu sein.
  • Durch einen weiteren Konfigurationsfehler erhielten Nutzer Lesezugriff auf über 14.000 Datensätze aus der Datenbank des Portals. Insgesamt waren sensible Informationen wie Identitätsdaten, Gesundheitsangaben und Details zur persönlichen Lebenssituation betroffen.

Das Unternehmen konnte die von den Datenschutzverletzungen betroffenen Daten nicht auflisten. Es konnte jedoch ausschließen, dass Anhänge (z. B. Ausweisdokumente oder ärztliche Atteste) betroffen waren. NEXPUBLICA argumentierte, dass aufgrund der Weisungsgebundenheit gegenüber dem Verantwortlichen das Sicherheitsniveau durch diesen festzulegen ist. Zum anderen waren sie der Ansicht, dass die Verantwortung NEXPUBLICAS für die Bereitstellung des öffentlichen CRM relativiert werden sollte: bestimmte Schwachstellen lagen in der Verantwortung des Hosting-Anbieters und man zudem nicht für Komponenten haftbar gemacht werden kann, die Teile von technologischen Bausteinen sind, die man nicht selbst entwickelt hat. 

2. Rechtliche Bewertung

Dieser Argumentation folgte der CNIL nicht. Sie stellte einen Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) fest. Die wesentlichen rechtlichen Erwägungen sind:

Obwohl NEXPUBLICA als Auftragsverarbeiter tätig war, trägt das Unternehmen eine eigene Verantwortung für die technische Sicherheit der bereitgestellten Lösung. Die Behörde betonte, dass der Dienstleister verpflichtet ist, den Stand der Technik einzuhalten und angemessene Sicherheitsmaßnahmen proaktiv vorzuschlagen.

Die CNIL kritisierte das Fehlen eines mehrstufigen Sicherheitssystems zum Schutze der personenbezogenen Daten. Sicherheitsrelevante Komponenten basierten teilweise auf veralteten sowie unzureichend geprüften Software-Bausteinen von Drittanbietern.

Interne Audits und automatisierte Code-Analysen hatten bereits im Vorfeld kritische Schwachstellen aufgezeigt, die vom Unternehmen nicht rechtzeitig oder vollständig behoben wurden.

3. Bedeutung für die Praxis

Die Entscheidung sendet ein deutliches Signal an die gesamte IT-Branche:

IT-Dienstleister können sich als Auftragsverarbeiter nicht darauf berufen, lediglich Weisungen des Kunden ausgeführt zu haben, wenn es um grundlegende IT-Sicherheitsmängel geht.

Werden Module von anderen Anbietern integriert, ist der integrierende Dienstleister für deren Sicherheit verantwortlich, sofern die Wahl der Komponente in seinem Ermessensspielraum lag.

Die Tatsache, dass NEXPUBLICA über Schwachstellen informiert war, diese aber nicht zeitnah behob, wurde erschwerend gewertet. Unternehmen müssen ein funktionierendes Patch-Management und klare Eskalationswege für erkannte Risiken vorweisen.

4. Fazit

Die Entscheidung der CNIL unterstreicht, dass Datenschutz im B2B-Verhältnis kein reiner Vertragsgegenstand ist, sondern eine gelebte technische Verpflichtung sein muss. Sicherheit ist kein statischer Zustand, sondern ein fortlaufender Prozess. Für Dienstleister bedeutet dies: Die Implementierung von Sicherheitsstandards ist eine fortlaufende Bemühung. Zwar ist die Höhe des Bußgeldes auch der Verarbeitung sensibler Gesundheits- oder Sozialdaten durch öffentliche Stellen geschuldet, aber auf für alle weiteren B2B-Verhältnisse werden keine Kompromisse bei der technischen Umsetzung des Datenschutzes akzeptiert.

Sie möchten Ihre Datenschutzprozesse auf den Prüfstand stellen oder externe Dienstleister rechtssicher einbinden?  
Wir unterstützen Sie bei der rechtlichen Bewertung, Umsetzung und Kontrolle – praxisnah und DSGVO-konform.  
Melden Sie sich gern unter datenschutz@bitkom-consult.de  

Share