.st0{fill:#FFFFFF;}

Bußgeld veraltete Software

Wichtige Datenschutz-Themen von Profis aufbereitet

DSGVO-Bußgeld aufgrund veralteter Software

Die Sicherung von Kundendaten ist eine wichtige Aufgabe, die Unternehmen zu bewältigen haben. Mit der DSGVO fordert der europäische Gesetzgeber einen umfassenden Schutz personenbezogener Daten. Unternehmen werden hiernach verpflichtet, sich bei ihren Sicherheitsmaßnahmen stets am aktuellen Stand der Technik zu orientieren.

In Folge des Einsatzes einer veralteten Software war ein niedersächsischer Online-Shop nicht mehr in der Lage, die Passwörter seiner Kunden angemessen zu sichern. Daher verhängte die niedersächsische Datenschutzbehörde ein Bußgeld von 65.500€.


Das Wichtigste auf einen Blick

  • Ein niedersächsischer Online-Shop für Medikamente verwendete eine veraltete Software von 2014, wodurch die Daten der Kunden in Gefahr gebracht wurden
  • Die Behörde verhängte ein Bußgeld in Höhe von 65.500€
  • Die Software wurde vom Hersteller seit Jahren nicht mehr mit Updates versorgt
  • Unternehmen sind verpflichtet sich beim Einsatz von Sicherheitsmaßnahmen stets am Stand der Technik zu orientieren

    1. Verstoß gegen Art. 25 und Art. 32 der DSGVO

    Die Gefahr vor Hacker-Angriffen ist real und nimmt immer mehr zu. Unberechtigte dringen in Datensätze ein und versuchen diese zu übernehmen. Daher ist es für Unternehmen unerlässlich, sowohl sich als auch ihre Kunden davor zu schützen.

    Aus diesem Grund legen Art. 25 und Art. 32 der DSGVO fest, dass Unternehmen sich bei der Verwendung von Software, die der Datensicherung dient, am aktuellen Stand der Technik zu orientieren haben.

    Dagegen verstieß nun ein Betreiber eines Online-Shops. Dieser nutzte eine seit 2014 veraltete Software, die erhebliche Sicherheitslücken aufwies, wodurch Passwörter nicht angemessen gesichert wurden. Der Hersteller der Software hatte nicht nur auf die Sicherheitslücken hingewiesen, sondern auch explizit von der Verwendung abgeraten. Diese Lücken ermöglichen das Eindringen in das System und somit den Zugriff auf die Zugangsdaten aller registrierten Kunden.


    2. Bedeutung der angemessenen Sicherung von Daten

    Verschiedene Sicherheitssysteme ermöglichen es Unternehmen die Gefahr durch Hacker-Angriffe zu minimieren. Vor allem aber ist es wichtig, bereits bestehende Sicherheitsanwendungen stets zu überprüfen und unter Umständen zu aktualisieren, da sich nicht nur die Sicherheitsstandards, sondern auch die Schadsoftware weiterentwickeln.

    Das Unternehmen sicherte zwar die in der Datenbank abgelegten Passwörter mit einer kryptografischen Hashfunktion. Allerdings war das verwendete Verfahren deren für Einsatz bei Passwörtern gar nicht ausgelegt.

    Diese mangelnde Maskierung erhöhte die Gefahr des Eindringens in die Datenbank durch Einschleusen von Fremdbefehlen, sogenannte „SQL-Injection-Angriffe“. Dadurch waren Kundendaten einsehbar und vor allem Passwörter für die Angreifer im Klartext lesbar.

    3. Sanktionen

    Vor allem die fahrlässige Gefährdung der Kunden spielte bei der Sanktionierung eine maßgebliche Rolle. Hinzu kam, dass der Verstoß mit relativ geringem Aufwand vermeidbar gewesen wäre.

    Angemessene Funktionen zur Sicherung von Daten werden vom Hersteller der Software für seine neueren Versionen angeboten und Sicherheitslücken durch Updates beseitigt. Trotz der Warnungen des Herstellers wurde die Software nicht durch eine neue und sichere Version ersetzt.

    Aufgrund dieser Sorgfaltspflichtverletzung kam die Behörde zu dem Ergebnis, dass ein Bußgeld in Höhe von 65.500€ begründet sei. Der geforderte Schutz personenbezogener Daten nach der DSGVO wurde nicht gewährleistet.

    Positiv wurde bei der Bußgeldbemessung berücksichtigt, dass das Unternehmen den Vorfall selbst gemeldet und betroffene Personen über die Gefährdung ihrer Daten informiert hatte.

     

    4. Ausblick

    Unzureichende Sicherheitsvorkehrungen sind kein Einzelfall. Verantwortliche sollten daher stets mit ihren IT- und Datenschutzbeauftragten Rücksprache halten. Bei fehlendem internen Know-How empfiehlt es sich, auf fachkundige Dienstleister zurückzugreifen. Eine enge Zusammenarbeit mit den entsprechenden Soft- und Hardware-Herstellern ist hierbei unerlässlich.

    Gerade bei Nutzerzugängen bietet sich die Implementierung einer „Mehr-Faktor-Authentifizierung“ an. Diese bietet einen umfangreicheren Schutz, indem sie sich nicht ausschließlich auf Stärke und Verschlüsselung eines Passwortes beschränkt sondern eine zweite Sicherheitskomponente hinzufügt.

    Die Verletzung des Schutzes personenbezogener Daten ist kein Bagatelldelikt. Dies wird allein schon aus der Strafandrohung deutlich, die im hohen Millionenbereich liegen kann.

    Gerade der vorliegende Fall ist beispielhaft dafür, wie sich Unternehmen schon durch einfache Maßnahmen vor hohen Bußgeldern schützen können.


    Datenschutzschulungen für Ihre Mitarbeiter?


    Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.