DSGVO: Bußgeld für Online-Shop wegen veralteter Technik

zahnrad verostetDass die Datenschutzbehörden für Verstöße gegen datenschutzrechtliche Vorschriften Bußgelder verhängen können und das in der jüngeren Vergangenheit auch verstärkt tun, dürfte sich mittlerweile herumgesprochen haben. Dabei geht es häufig um eine Verarbeitung von Daten ohne ausreichende Rechtsgrundlage oder um die unzureichende Erfüllung von Informationspflichten. Dass aber auch eine an sich zulässige Verarbeitung Bußgelder nach sich ziehen kann, wenn sie mit unzureichenden Schutzmaßnahmen erfolgt, musste ein Online-Shop-Betreiber erfahren. Gegen diesen verhängte die Landesbeauftragte für Datenschutz des Landes Niedersachen ein Bußgeld in Höhe von 65.500 Euro. Grund war die Verwendung veralteter Technik im Web-Shop.

Der Sachverhalt

Ein Mitarbeiter/eine Mitarbeiterin überprüfte den Online-Shop auf eine Meldung hin auf die Umsetzung technisch-organisatorischer Maßnahmen (TOM) auf der besagten Webseite:
„Ich nahm eine Meldung gem. Artikel 33 DS-GVO zum Anlass, die Internetseite eines Unternehmens unter technischen Gesichtspunkten zu prüfen. Dabei stellte sich heraus, dass auf der Seite die Web-Shop-Anwendung xt:Commerce in der Version 3.0.4 SP2.1 verwendet wurde. Diese Version ist seit spätestens 2014 veraltet und wird vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Die genutzte Software enthielt erhebliche Sicherheitslücken, auf welche der Hersteller hingewiesen hatte. Die Sicherheitslücken ermöglichten unter anderem SQL-Injection-Angriffe. Auch der Hersteller warnte davor, die Version 3 der Software weiter einzusetzen.“

Zum Ergebnis der Ermittlungen teilte man mit:
„Meine Ermittlungen ergaben, dass die in der Datenbank abgelegten Passwörter zwar mit der kryptographischen Hashfunktion „MD5“ gesichert waren, welche allerdings nicht auf den Einsatz für Passwörter ausgelegt ist. Eine schnelle ‚Berechnung‘ der Klartext-Passwörter wäre daher möglich gewesen. Auch existieren sog. „Rainbow-Tables“ im Internet, anhand derer – ganz ohne Berechnung – das zu einem Hash gehörige Passwort abgelesen werden kann. Hinzu kam, dass kein „Salt“ verwendet wurde. Ein solcher Salt, der für jedes Passwort individuell generiert wird, verlängert ein Passwort und erschwert so die systematische Berechnung deutlich. Ziel des Salt ist es, dass der Angreifer für jedes Passwort eine komplette Neuberechnung durchführen muss und vorgefertigte Rainbow-Tables wertlos werden. Ohne Salt genügte hingegen eine gemeinsame Berechnung für die komplette heruntergeladene Datenbank. Ohne entsprechende Sicherheitsvorkehrungen wäre es im vorliegenden Fall mit überschaubarem Aufwand möglich gewesen, die Klartext-Passwörter zu ermitteln und dann weitere Angriffsvektoren auszuprobieren. Ein Angreifer hätte die ermittelten Passwörter z. B. bei den ebenfalls in der Datenbank hinterlegten E-Mail-Adressen testen und im Erfolgsfall erhebliche (Folge )Schäden anrichten können.“


Die Implementierung einer Salt-Funktion sowie eines aktuellen, auf Passwörter ausgelegten Hash-Algorithmus, wäre für das Unternehmen mit verhältnismäßig geringem  Aufwand verbunden gewesen, vor allem, wenn das Einbinden dieser Funktionalität mit neueren Versionen der Software erfolgt, so die Datenschutzbehörde.

Die Strafe

Die ergriffenen Maßnahmen der Verantwortlichen waren damit nicht dem Schutzbedarf gemäß Art. 25 DSGVO angemessen. Aufgrund eines Verstoßes gegen die Sicherheit der Verarbeitung (Art. 32 DSGVO) verhängte die niedersächsische Datenschutzbehörde ein Bußgeld in Höhe von 65.500 Euro. Der Online-Shop-Betreiber informierte bereits vor dem Bußgeldverfahren die betroffenen Personen über einen notwendigen Passwortwechsel. Dies berücksichtigte die Datenschutzbehörde bei der Höhe des Bußgeldes.
Das Unternehmen akzeptierte die Strafe.


Es zeigt sich daher, dass nicht nur eine unzulässige Datenverarbeitung oder der Verstoß gegen Informationspflichten Bußgelder nach sich ziehen kann, sondern auch die unzureichende Berücksichtigung technischer Schutzmaßnahmen. Hier kommt ein Aspekt zum Tragen, der bei allen juristischen Diskussionen über die DSGVO schnell vergessen wird: Datenschutz ist kein rein juristisches Thema, sondern in vielen Bereichen auch ein technisches. Ohne entsprechende technische Schutzmaßnahmen sind viele juristische Maßnahmen nur Papiertiger, bei denen spätestens beim Auftreten von IT-Sicherheitsvorfällen auch die technischen Maßnahmen auf den Prüfstand geraten. Innerhalb der DURY-Gruppe decken wir daher neben der juristischen Beratung über DURY LEGAL Rechtsanwälte auch das Thema Datenschutzberatung eischließlich IT-Sicherheit über die DURY Compliance & Consulting GmbH ab, die durch ihre Spezialisierung auch die technischen Aspekte des Datenschutzes abdecken kann.

Co-Autor: Wissenschaftlicher Mitarbeiter – Ref. jur. Philipp Schmelz


Bildquelle: Bild von Ulrike Leone auf Pixabay

Rechtsanwalt Michael Pfeiffer
Autor: Rechtsanwalt Michael Pfeiffer
Angestellter Rechtsanwalt
Autoren-Info:
Rechtsanwalt Michael Pfeiffer, Fachanwalt für IT-Recht, ist seit dem Jahr 2016 als Rechtsanwalt bei DURY LEGAL beschäftigt.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de