Ein kleiner Fehler bei der Konfiguration eines Webauftritts des Apothekendienstleisters Pharma Networx führte dazu, dass die für Kunden (Apotheken) ausgestellten PDF-Rechnungen durch Suchmachinen wie Bing und Google indiziert wurden. Der Anbieter hat es schnell gemerkt, die Schwachstelle geschlossen und den Vorfall gemeldet. Aber die Rechnungen sind noch als Suchergebnisse (nicht aber als PDF) abrufbar.
Ein Leserhinweis auf Rechnungen in Suchmaschinen
Pharma Networx ist ein kleinere Dienstleister, der Apotheken und andere Firmen mit Software und Systemen beliefert. Dazu werden den Kunden auch Rechnungen im PDF-Format in einem Web-System bereitgestellt. Der Zugriff ist normalerweise geschützt.
Zum 27. November 2024 meldet sich ein, laut eigener Aussage „begeisterter Leser des Blogs“, der mich per Mail auf eine besorgniserregende Entdeckung aufmerksam machen wollte. Der Leser war bei einer Recherche zu IT-Dienstleistern für Apotheken in Deutschland, die u.a. Notdienst-Services anbieten, auf die Webseite pharma-networx.de gestoßen. Ist natürlich erst einmal nichts ungewöhnliches.
Alarmiert war der Leser, dass er bei Google in den Suchergebnissen Rechnungen mit personenbezogenen Daten dieser Firma stieß und diese Rechnungen als erste Treffer angezeigt wurden. Zunächst waren nur Rechnungen aus dem Jahr 2010 sichtbar, schrieb der Leser.
Als er jedoch die URL pharma-networks . de/rechnungen bei Google eingab, stieß er auf aktuelle Rechnungen, die Google detailliert auflistet. Durch Hinzufügen von Städtenamen in der Suche (pharma-networx . de/ rechnungen +[Städename])konnte er sogar Rechnungen aus dem Jahr 2024 mit Apothekenanschriften der jeweiligen Städte auffinden.
Hintergrund war, dass der Webserver des Betreiber nicht abgesichert war, so dass die im Ordner Rechnungen des Drupal-Auftritts abgelegten PDF-Rechnungen für Kunden durch Suchmaschinen wie Bing oder Google indexiert wurden. Obiger Screenshot zeigt eine solche Suche, die Rechnungseinträge liefert.
Nach Einschätzung des Blog-Lesers nach handelt es sich hierbei um einen eindeutigen Verstoß gegen die DSGVO, der dem LDI NRW gemeldet werden sollte, was er mir auch so schrieb. Seiner Ansicht nach bestehe die Gefahr, dass noch weitere sensible Rechnungsdaten öffentlich zugänglich sind.
Der Anbieter reagiert und meldet auch
Ich hatte dem Leser zugesagt, mich um diesen Fall zu kümmern, habe die Angelegenheit aber einige Tage beiseite legen müssen. Als ich mich nach einigen Tagen daran setzte, das Ganze zu verifizieren, war der Rechnungen-Ordner auf dem Server bereits für Fremdzugriffe abgesichert.
Ich konnte zwar noch Rechnungen im Suchindex von Bing und Google finden. Beim Zugriff auf die Links, die dann zum pharma-networkx[.]de Rechnungsordner führten, erschien dann obige Fehlermeldung.
Rückmeldung des Landesdatenschutzbeauftragten
Ich habe dann noch vorsorglich die Presseabteilung der Landesdatenschutzbeauftragten von Nordrhein-Westfalen kontaktiert, um nachzufragen, ob der Fall bekannt sei und eine Meldung des Unternehmens vorliege. Zum 10. Dezember gab es von der Pressestelle eine Rückmeldung.
Der von Ihnen geschilderte Fall wurde uns am 27.11.2024 gemeldet. Pharma-Networx wurde daraufhin von uns kontaktiert und hat den Zugang zu dem Verzeichnis unmittelbar noch am selben Tag erfolgreich gesperrt. Betroffen waren nur personenbezogenen Daten, die im Rahmen der Geschäftsbeziehung zwischen Unternehmen und Apothekenbetreibern verarbeitet wurden, insbesondere hinsichtlich der technischer Dienstleistung und deren Kosten. Medizinische Daten von Apothekenkunden sind nach unserer Kenntnis und nach Angaben des Unternehmens explizit nicht betroffen.
Da der Vorfall damit nur ein geringes Risiko für die Rechte und Freiheiten betroffener Personen darstellt, hat das Unternehmen diese Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 Abs. 5 DS-GVO intern dokumentiert und die Dokumentation auf unsere Anfrage hin zur Verfügung gestellt. Ein Antrag auf Löschung der zwischengespeicherten Daten aus den noch zugänglichen Suchergebnissen wurde von Pharma-Networx bereits gestellt.
Hier hat das Unternehmen offenbar etwas bemerkt und sofort gehandelt. Die Lesermail stammt vom 27. November 2024, die Meldung von Pharma-Networx ist vom gleichen Tag. Die haben wohl den Fehler des nicht abgesicherten Verzeichnisses bemerkt, dieses gesichert und den Vorfall der zuständigen Landesdatenschutzbehörde gemeldet. Das ist mustergültig gelaufen. Da die Rechnungen mutmaßlich auch nur über Dienstleistungen für Apotheken-Notdienstsystem und ähnliches lauteten und an Firmen gingen, die die DSGVO-Relevanz auch niederschwellig – wie auch die Landesdatenschutzbeauftragte feststellt.
Der Vorfall zeigt aber, auf welch schmalem Grat sich die allgegenwärtige Digitalisierung mit dem „alles muss im Internet stehen“ bewegt. Ich habe riesen Respekt davor, dass mir beispielsweise beim Neuaufsetzen eines Blogs solche Fehler passieren und der öffentliche Zugriff auf ein Verzeichnis ermöglicht wird.
Amüsante Haltung der LDS. Als ob die betroffenen Mitarbeitenden nicht auch Rechte und Freiheiten hätten, die dadurch verletzt wurden. Alleine die Namen und ein daraus abzuleitendes Arbeitsverhältnis… ach komm, ich habe mich zu oft darüber aufgeregt. DSGVO ist nur ’ne Arbeitsbeschaffungsmaßnahme, mehr nicht.