Lesezeit: [wtr-time]
Eine Website muss immer auf dem aktuellen Stand der Technik gehalten werden. Einem Unternehmen aus Niedersachsen wurde es zum Verhängnis, dass das System keine Updates erhielt. Das Ergebnis: 65.500 Euro Bußgeld, da die Nutzer-Passwörter nicht angemessen gesichert waren.
Die DSGVO regelt den Datenschutz und dazu gehören auch technische Aspekte, wie der angemessene Schutz der bei der Speicherung von personenbezogenen Daten.
Auf den ersten Blick mögen sind fehlende Updates vielleicht weniger relevant erscheinen, doch auf den zweiten Blick wird klar, dass bei der Beurteilung, ob ihre Website die angemessenen geeigneten technischen und organisatorischen Maßnahmen erfüllt, fehlende Updates durchaus zu einem DSGVO-Verstoß führen können.
Einem Unternehmen aus Niedersachsen wurde die Update-Müdigkeit nun zum Verhängnis. Dieses musste nach Prüfung durch den Datenschutzbeauftragten des Landes ein Bußgeld von 65.500 Euro zahlen, da es gegen die Vorschriften von Art. 25 und Art. 32 der DSGVO verstoßen hatte.
Einsatz von Onlineshop-Software trotz abgelaufener Version
Was war passiert? Das Unternehmen musste aufgrund einen Datenschutzvorfalls eine Meldung an die Behörde machen. Diese Diese Meldung nah die Behörde zum Anlass, den Onlineshop aus technischen Gesichtspunkten zu überprüfen.
Bei der Überprüfung stellte sich heraus, dass die Onlineshop-Software in einer veralteten Version verwendet wurde. Seit 2014 wurde diese Version vom Hersteller nicht mehr unterstützt und auch nicht mehr mit Sicherheitsupdates versorgt. Auch warte der Hersteller davor, die Version seiner Onlineshop-Software weiter einzusetzen, da s.g. SQL-Injection-Angriffe möglich waren.
Die Ermittlungen des Landesdatenschutzbeauftragten aus Niedersachsen ergaben, dass neben anderen technischen Mängeln auch die in der Datenbank abgelegten Passwörter nicht korrekt verschlüsselt waren und damit eine Berechnung der Klartext-Passwörter möglich wird.
Onlineshop-System-Updates sind „überschaubarer Aufwand“
Die Behörde vertrat die Meinung, dass die mangelhaften Sicherheitsvorkehrungen im vorliegenden Fall, hätten mit „überschaubarem Aufwand“ behoben werden können. Durch das fortlaufende Einspielen von Updates des Herstellers wären die Sicherheitslücken geschlossen worden und der Betreiber hätte durch regelmäßige Updates aufzeigen können, dass er Maßnahmen zur Reduzierung des Risikos umgesetzt hat.
Updates durch externe Dienstleister, wenn intern nicht möglich
Softwarehersteller und Dienstleister bieten in der Regel Services an, die in überschaubarem Aufwand regelmäßige Updates in Onlineshops einspielen und die Updates zuvor auf Kompatibilität prüfen.
Fühlen Sie sich als Betreiber eines Onlineshops nicht in der Lage technische Updates einzuspielen oder haben Sie Sorgen, dass es durch die Updates zu Systemausfällen kommen könnte, kann diese Tätigkeit an Dienstleister abgegeben werden.
Wichtig ist hierbei immer, dass Sie als Betreiber darauf achten, einen Vertrag zur Auftragsdatenverarbeitung mit dem Dienstleister zu schließen. Hintergrund ist, dass er die Systemupdates nur einspielen kann, wenn er vollen Zugriff auf Ihre Onlineshop-Software und damit auch auf alle personenbezogenen Daten erhält. Seriöse Dienstleister werden dies zuvor ansprechen und darauf achten, dass auch durch ihre externe Arbeit das Risiko einer Datenpanne für Sie minimiert wird.
Nur 65.000 Euro, da Einsicht beim Unternehmen
Bei der Bewertung des oben beschriebenen Vorfalls kam die Datenschutz-Behörde zu dem Ergebnis, dass die vom Betreiber des Onlineshops ergriffenen technischen Maßnahmen, im Rahmen der DSGVO nicht angemessen seien. Es lag eine Verstoß gegen Artikel 32 DSGVO vor.
Die daraufhin festgesetzte Geldbuße in Höhe von 65.500 Euro wurde vom Betreiber akzeptiert. Zugunsten des Betreibers berücksichtigte die Behörde, dass dieser bereits vor dem Bußgeldverfahren die betroffenen Personen darüber informiert hatte, dass ein Wechsel des Passwortes notwendig sei.