DSGVO-Bußgeld für veraltete Software
Ein Unternehmen nutzte für seinen Online-Shop veraltete und unsichere Software. Die niedersächsische Datenschutzbehörde ahndete dies mit einem Bußgeld i.H.v. 65.500,- EUR
Bei dem Unternehmen lag – im Rahmen des Online-Shops – eine unzureichende Sicherung der Kunden-Passwörter vor.
Nach einem Datenschutzvorfall in den Online-Shop hatte sich das Unternehmen wohl selbst an die Datenschutzbehörde gewendet, die auch die technischen Details der Interentseite des Unternehmens näher überprüfte.
veraltete Version von „xt:Commerce“
Bei der eingesetzten Shop-Software handelte es sich um „xt:Commerce“ in der – veralteten – Version 3.0.4 (SP 2.1). Der Hersteller hatte bereits seit mehreren Jahren keine Sicherheitsupdates mehr für die Software angeboten. Das Programm war bereits seit dem Jahr 2014 technisch veraltet.
Warnung des Herstellers
Ferner hatte der Hersteller vor einem Einsatz der Software – aufgrund bekannter Schwachstellen, zwecks fehlender Sicherheitsupdates – hingewiesen und davor gewarnt die Software weiterhin einzusetzten. Eine Anfälligkeit habe insbesondere in Bezug auf sog. SQL-Incetion-Attaken bestenden, durch die Datenbanken ausgelesen oder kopiert werden können.
Auch die Verschlüsselung der Kundenpasswörter bei der Nutzung des Online-Shops wies Schwachstellen auf. Zwar gab es eine Verschlüsselung in Form der kryptographischen Hashfunktion Message-Digest Algorithm 5 (kurz: MD5). Diese wird aber als unzureichend für Passwörter angesehen.
Unzureichende Sicherungsmaßnahmen
Die Datenschutzbehörde sah die Sicherungsmaßnahmen als unzureichend an. Das angemessene Schutzniveau sei unterschritten worden, da die Sicherungsmaßnahmen nicht dem Stand der Technik entsprachen, wie es aber in Art. 25 DSGVO vorgeschrieben ist.
Bei der Bemessung des Bußgeldes sei – zugunsten des Unternehmens – berücksichtigt worden, dass das Unternehmen alle betroffenen Personen kontaktiert, über den Vorfall informiert und zur Änderung des Passwortes aufgrfordert hatte.
Es ist daher dringend zu empfehlen den „Stand der Technik“ laufend zu überprüfen und die entsprechenden Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu berücksichtigen.
RAin Alexa Frey, Fachanwältin für Medizin- & IT-Recht