DSGVO: Bußgeld für Online-Shop wegen veralteter Technik

Datenschutzrecht-Blog

zahnrad verostetDass die Datenschutzbehörden für Verstöße gegen datenschutzrechtliche Vorschriften Bußgelder verhängen können und das in der jüngeren Vergangenheit auch verstärkt tun, dürfte sich mittlerweile herumgesprochen haben. Dabei geht es häufig um eine Verarbeitung von Daten ohne ausreichende Rechtsgrundlage oder um die unzureichende Erfüllung von Informationspflichten. Dass aber auch eine an sich zulässige Verarbeitung Bußgelder nach sich ziehen kann, wenn sie mit unzureichenden Schutzmaßnahmen erfolgt, musste ein Online-Shop-Betreiber erfahren. Gegen diesen verhängte die Landesbeauftragte für Datenschutz des Landes Niedersachen ein Bußgeld in Höhe von 65.500 Euro. Grund war die Verwendung veralteter Technik im Web-Shop.

Der Sachverhalt

Ein Mitarbeiter/eine Mitarbeiterin überprüfte den Online-Shop auf eine Meldung hin auf die Umsetzung technisch-organisatorischer Maßnahmen (TOM) auf der besagten Webseite:
„Ich nahm eine Meldung gem. Artikel 33 DS-GVO zum Anlass, die Internetseite eines Unternehmens unter technischen Gesichtspunkten zu prüfen. Dabei stellte sich heraus, dass auf der Seite die Web-Shop-Anwendung xt:Commerce in der Version 3.0.4 SP2.1 verwendet wurde. Diese Version ist seit spätestens 2014 veraltet und wird vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Die genutzte Software enthielt erhebliche Sicherheitslücken, auf welche der Hersteller hingewiesen hatte. Die Sicherheitslücken ermöglichten unter anderem SQL-Injection-Angriffe. Auch der Hersteller warnte davor, die Version 3 der Software weiter einzusetzen.“

Zum Ergebnis der Ermittlungen teilte man mit:
„Meine Ermittlungen ergaben, dass die in der Datenbank abgelegten Passwörter zwar mit der kryptographischen Hashfunktion „MD5“ gesichert waren, welche allerdings nicht auf den Einsatz für Passwörter ausgelegt ist. Eine schnelle ‚Berechnung‘ der Klartext-Passwörter wäre daher möglich gewesen. Auch existieren sog. „Rainbow-Tables“ im Internet, anhand derer – ganz ohne Berechnung – das zu einem Hash gehörige Passwort abgelesen werden kann. Hinzu kam, dass kein „Salt“ verwendet wurde. Ein solcher Salt, der für jedes Passwort individuell generiert wird, verlängert ein Passwort und erschwert so die systematische Berechnung deutlich. Ziel des Salt ist es, dass der Angreifer für jedes Passwort eine komplette Neuberechnung durchführen muss und vorgefertigte Rainbow-Tables wertlos werden. Ohne Salt genügte hingegen eine gemeinsame Berechnung für die komplette heruntergeladene Datenbank. Ohne entsprechende Sicherheitsvorkehrungen wäre es im vorliegenden Fall mit überschaubarem Aufwand möglich gewesen, die Klartext-Passwörter zu ermitteln und dann weitere Angriffsvektoren auszuprobieren. Ein Angreifer hätte die ermittelten Passwörter z. B. bei den ebenfalls in der Datenbank hinterlegten E-Mail-Adressen testen und im Erfolgsfall erhebliche (Folge )Schäden anrichten können.“


Die Implementierung einer Salt-Funktion sowie eines aktuellen, auf Passwörter ausgelegten Hash-Algorithmus, wäre für das Unternehmen mit verhältnismäßig geringem  Aufwand verbunden gewesen, vor allem, wenn das Einbinden dieser Funktionalität mit neueren Versionen der Software erfolgt, so die Datenschutzbehörde.

Die Strafe

Die ergriffenen Maßnahmen der Verantwortlichen waren damit nicht dem Schutzbedarf gemäß Art. 25 DSGVO angemessen. Aufgrund eines Verstoßes gegen die Sicherheit der Verarbeitung (Art. 32 DSGVO) verhängte die niedersächsische Datenschutzbehörde ein Bußgeld in Höhe von 65.500 Euro. Der Online-Shop-Betreiber informierte bereits vor dem Bußgeldverfahren die betroffenen Personen über einen notwendigen Passwortwechsel. Dies berücksichtigte die Datenschutzbehörde bei der Höhe des Bußgeldes.
Das Unternehmen akzeptierte die Strafe.


Es zeigt sich daher, dass nicht nur eine unzulässige Datenverarbeitung oder der Verstoß gegen Informationspflichten Bußgelder nach sich ziehen kann, sondern auch die unzureichende Berücksichtigung technischer Schutzmaßnahmen. Hier kommt ein Aspekt zum Tragen, der bei allen juristischen Diskussionen über die DSGVO schnell vergessen wird: Datenschutz ist kein rein juristisches Thema, sondern in vielen Bereichen auch ein technisches. Ohne entsprechende technische Schutzmaßnahmen sind viele juristische Maßnahmen nur Papiertiger, bei denen spätestens beim Auftreten von IT-Sicherheitsvorfällen auch die technischen Maßnahmen auf den Prüfstand geraten. Innerhalb der DURY-Gruppe decken wir daher neben der juristischen Beratung über DURY LEGAL Rechtsanwälte auch das Thema Datenschutzberatung eischließlich IT-Sicherheit über die DURY Compliance & Consulting GmbH ab, die durch ihre Spezialisierung auch die technischen Aspekte des Datenschutzes abdecken kann.

Co-Autor: Wissenschaftlicher Mitarbeiter – Ref. jur. Philipp Schmelz


Bildquelle: Bild von Ulrike Leone auf Pixabay

Rechtsanwalt Michael Pfeiffer
Autor: Rechtsanwalt Michael Pfeiffer
Angestellter Rechtsanwalt
Autoren-Info:
Rechtsanwalt Michael Pfeiffer, Fachanwalt für IT-Recht, ist seit dem Jahr 2016 als Rechtsanwalt bei DURY LEGAL beschäftigt.