CNIL bestraft NEXPUBLICA FRANCE mit 1,7 Millionen Euro Bußgeld wegen DSGVO-Verstößen

1,7 Millionen Euro Bußgeld: CNIL sanktioniert NEXPUBLICA FRANCE wegen unzureichender Datensicherheit

Die französische Datenschutzaufsicht CNIL hat den Softwarehersteller NEXPUBLICA FRANCE zu einer Geldbuße von 1,7 Millionen Euro verurteilt. Der Grund: Das Unternehmen hat bei seiner PCRM-Software für den Sozialbereich elementare Sicherheitsstandards vernachlässigt. Die Behörde kritisiert vor allem, dass bekannte Schwachstellen über längere Zeit unbehoben blieben.

Hintergrund der Sanktion

Am 22. Dezember 2025 gab die Commission Nationale de l’Informatique et des Libertés (CNIL) ihre Entscheidung gegen NEXPUBLICA FRANCE bekannt. Das Unternehmen, das früher unter dem Namen INETUM SOFTWARE FRANCE firmierte, entwickelt IT-Lösungen für verschiedene Branchen. Im Fokus der Untersuchung stand die Software PCRM – ein Verwaltungssystem für Nutzerbeziehungen im sozialen Sektor.

Diese Anwendung kommt unter anderem bei den Départementhäusern für Menschen mit Behinderung (MDPH) in mehreren französischen Verwaltungsbezirken zum Einsatz. Die Software verarbeitet dabei hochsensible personenbezogene Informationen, darunter Gesundheitsdaten und Angaben zu Behinderungen.

Datenpanne als Auslöser

Ende November 2022 erreichten die CNIL mehrere Meldungen von Kunden des Softwareanbieters. Nutzer des PCRM-Portals hatten festgestellt, dass sie auf Dokumente anderer Personen zugreifen konnten. Diese Zugriffsrechteverletzung führte zur Offenlegung vertraulicher Informationen über Dritte.

Die Datenschutzbehörde leitete daraufhin umfassende Ermittlungen ein. Diese ergaben, dass die vom Unternehmen implementierten Schutzmaßnahmen nicht den Anforderungen der Datenschutz-Grundverordnung entsprachen.

Festgestellte Mängel

Der Sanktionsausschuss der CNIL stellte weitreichende Defizite fest. Besonders schwer wog, dass die identifizierten Schwachstellen:

• Auf fehlendem Verständnis grundlegender IT-Sicherheitsprinzipien beruhten
• Dem Unternehmen bereits aus mehreren Prüfberichten bekannt waren
• Erst nach dem Bekanntwerden der Datenpannen behoben wurden

Die Behörde betonte, dass ein auf IT-Systeme und Softwareentwicklung spezialisiertes Unternehmen über das erforderliche Fachwissen verfügen müsse, um aktuelle Sicherheitsstandards umzusetzen.

Verstoß gegen Artikel 32 DSGVO

Die Sanktion stützt sich auf Artikel 32 der Datenschutz-Grundverordnung. Dieser verpflichtet Verantwortliche und Auftragsverarbeiter, technische und organisatorische Maßnahmen zu ergreifen, die ein angemessenes Schutzniveau gewährleisten.

Bei der Bewertung sind mehrere Faktoren zu berücksichtigen:

• Der aktuelle Stand der Technik
• Die Implementierungskosten
• Art, Umfang und Zweck der Datenverarbeitung
• Die Eintrittswahrscheinlichkeit und Schwere von Risiken für die Betroffenen

Nach Einschätzung der CNIL hat NEXPUBLICA FRANCE diese Vorgaben nicht erfüllt. Das Informationssystem wies systematische Schwächen auf, die das Unternehmen fahrlässig fortbestehen ließ.

Bemessung der Geldbuße

Bei der Festsetzung der Bußgeldhöhe berücksichtigte der Sanktionsausschuss verschiedene Kriterien:

• Die wirtschaftliche Leistungsfähigkeit des Unternehmens
• Die Anzahl der betroffenen Personen
• Die besondere Sensibilität der verarbeiteten Daten
• Das Fehlen grundlegender Sicherheitskenntnisse trotz entsprechender Spezialisierung

Die Offenlegung von Informationen über Behinderungen wurde als besonders schwerwiegend eingestuft, da diese zu den sensiblen Datenkategorien nach Artikel 9 DSGVO gehören.

Keine Compliance-Anordnung

Auf eine zusätzliche Anordnung zur Behebung der Mängel verzichtete die CNIL. Das Unternehmen hatte nach Bekanntwerden der Vorfälle die erforderlichen Korrekturmaßnahmen bereits eigenständig umgesetzt.

Einordnung

Der Fall zeigt die Bedeutung präventiver Sicherheitsmaßnahmen. Unternehmen, die personenbezogene Daten verarbeiten, müssen kontinuierlich prüfen, ob ihre Schutzkonzepte dem aktuellen Stand der Technik entsprechen. Dies gilt umso mehr bei sensiblen Daten im Gesundheits- und Sozialbereich.

Die Höhe der Strafe verdeutlicht, dass Aufsichtsbehörden fahrlässiges Verhalten konsequent ahnden – insbesondere wenn bekannte Sicherheitslücken nicht zeitnah geschlossen werden.

Lesen Sie auch:

---