Wie teuer kann es werden, grundlegende Sicherheitsmaßnahmen zu ignorieren?

Kann das Ignorieren von grundlegenden Sicherheitsmaßnahmen wie der Multi-Faktor-Authentifizierung (MFA) zu einem Bußgeld in Millionenhöhe führen? Die estnische Datenschutzbehörde (AKI) hat diese Frage mit einem klaren „Ja“ beantwortet und ein Bußgeld von 3 Millionen Euro gegen den Pharma-Großhändler Allium UPI verhängt. Der Fall ist eine Warnung für jedes Unternehmen, das Kundendaten verarbeitet, und zeigt, dass die Einhaltung von „Cyber-Hygiene“ nicht verhandelbar ist.

Der Fall: Datenleck bei Apotheken-Treueprogramm mit hochsensiblen Gesundheitsdaten

Allium UPI war für die Verwaltung des Treueprogramms der Apothekenkette „Apotheka“ zuständig. Anfang 2024 wurde das Unternehmen Opfer eines Cyberangriffs. Unbefugte konnten wiederholt auf die Systeme zugreifen und Backups der Datenbanken des Treueprogramms entwenden.

Die gestohlenen Daten umfassten nicht nur die persönlichen Daten (Name, Adresse, E-Mail, Telefonnummer) von hunderttausenden Kunden, die zwischen 2014 und 2020 dem Programm beigetreten waren, sondern auch deren detaillierte Kaufhistorie. Darunter befanden sich hochsensible Informationen über gekaufte Medikamente, Schwangerschafts- und Ovulationstests, Produkte für Intimhygiene und Behandlungen für Hautprobleme – Daten, die direkte Rückschlüsse auf die Gesundheit und die Intimsphäre der Betroffenen zulassen.

Die Entscheidung der Behörde: Elementare Sicherheitsmaßnahmen wurden ignoriert

Die estnische Datenschutzbehörde stellte fest, dass Allium UPI seine Pflicht zur Sicherung der Daten gemäß Art. 32 DSGVO grob verletzt hat. Die Liste der Versäumnisse liest sich wie ein Lehrbuch für grundlegende Sicherheitsfehler:

• Fehlende Multi-Faktor-Authentifizierung (MFA): Einer der wichtigsten Schutzmechanismen für Accounts war nicht implementiert.
• Geteilte Administrator-Konten: Mehrere Personen nutzten denselben Administrator-Account mit identischem Benutzernamen und Passwort, was eine Nachverfolgung von Aktivitäten unmöglich macht.
• Unsichere Backups: Die Datensicherungen wurden nicht ausreichend geschützt gelagert.
• Mangelhafte Protokollierung: Die Überwachung der Systemaktivitäten war unzureichend, sodass der unbefugte Zugriff nicht rechtzeitig bemerkt wurde.

Die Behörde betonte, dass ein Unternehmen, dessen Geschäftsmodell auf der Verarbeitung von Kundendaten basiert, den Schutz dieser Daten als integralen Bestandteil seines Geschäfts ansehen muss. Da Allium UPI diese Pflicht vernachlässigt hat, wurde das hohe Bußgeld als „letztes Mittel“ zur Durchsetzung von Verantwortung und Prävention verhängt.

Was bedeutet das Urteil für Ihr Unternehmen?

• Artikel 32 DSGVO ist keine Formsache: Die Pflicht zur Implementierung „geeigneter technischer und organisatorischer Maßnahmen“ (TOMs) ist eine Kernforderung der DSGVO. Das Urteil zeigt, dass Behörden dies streng auslegen und grundlegende Standards wie MFA als zwingend ansehen.
• „Cyber-Hygiene“ ist die Basis: Starke, einzigartige Passwörter, MFA, getrennte Benutzerkonten und sichere Backup-Strategien sind keine optionalen Extras, sondern das absolute Minimum, insbesondere bei der Verarbeitung sensibler Daten.
• Sensible Daten = Höhere Verantwortung und höhere Bußgelder: Die Sensibilität der geleakten Gesundheitsdaten war ein entscheidender Faktor für die Höhe des Bußgeldes. Je sensibler die Daten, die Sie verarbeiten, desto höher sind die Anforderungen an Ihre Sicherheitsmaßnahmen.
• Die Verantwortung kann nicht outgesourct werden: Auch wenn Sie einen Dienstleister mit der Datenverarbeitung beauftragen, bleiben Sie als Auftraggeber in der Verantwortung, dessen Sicherheitsstandards zu überprüfen (Auftragsverarbeitungsvertrag nach Art. 28 DSGVO).

FAQ: Datensicherheit & DSGVO – Was Sie wissen müssen

• Was genau verlangt Artikel 32 DSGVO von Unternehmen?
  Er verlangt die Sicherstellung eines dem Risiko angemessenen Schutzniveaus durch Maßnahmen wie Pseudonymisierung, Verschlüsselung, Gewährleistung der Systemvertraulichkeit und -verfügbarkeit sowie regelmäßige Überprüfung der Maßnahmen.
• Ist Multi-Faktor-Authentifizierung (MFA) für jedes Unternehmen Pflicht?
  Nein, die Multi-Faktor-Authentifizierung (MFA) ist noch nicht für jedes Unternehmen allgemein verpflichtend, aber sie wird es für bestimmte Organisationen und für bestimmte Zugriffe. Wichtige regulatorische Änderungen wie die NIS-2-Richtlinie machen MFA für viele Unternehmen verpflichtend. MFA gilt heute als „Stand der Technik“ für die Absicherung wichtiger Zugänge und wird von den Aufsichtsbehörden bei der Bewertung der Sicherheitsmaßnahmen als entscheidendes Kriterium herangezogen.
• Wer ist für die Daten eines Treueprogramms verantwortlich?
  In der Regel liegt eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) oder eine Auftragsverarbeitung (Art. 28 DSGVO) vor. In jedem Fall muss klar vertraglich geregelt sein, wer für welche Sicherheitsmaßnahmen zuständig ist.
• Was sind die ersten Schritte nach der Entdeckung eines Datenlecks?
  Sofortige Maßnahmen zur Eindämmung des Angriffs, Sicherung der Beweise, Bewertung des Risikos für die Betroffenen und – bei entsprechendem Risiko – eine Meldung an die zuständige Datenschutzbehörde innerhalb von 72 Stunden.
• Wie kann ich die Datensicherheit in meinem Unternehmen überprüfen lassen?
  Wir helfen Ihnen gern dabei, kontaktieren Sie uns: sofortdatenschutz.de/kontakt

Fazit: Grundlegende Datensicherheit ist nicht verhandelbar

Der Fall Allium UPI ist eine eindringliche Lektion: Massive Datenschutz-Bußgelder werden nicht nur für komplexe Rechtsverstöße verhängt, sondern auch für das schlichte Versäumnis, grundlegende und weithin bekannte Sicherheitsstandards umzusetzen. Für Unternehmen jeder Größe bedeutet dies, dass Investitionen in essenzielle Cyber-Hygiene keine Kosten sind, sondern eine unverzichtbare Versicherung gegen finanzielle und reputationelle Katastrophen.