Die DSGVO – ein scharfes Schwert für Datenschützer

Die DSGVO - ein scharfes Schwert für Datenschützer Wegen Verstößen gegen die DSGVO muss ein Unternehmen aus Niedersachsen eine Strafe von 65.500 Euro bezahlen. Die Website mit veralteter Software hatte die Nutzer-Passwörter nicht angemessen gesichert und somit die Daten der Nutzer nicht ausreichend geschützt. Da personenbezogene Daten laut DSGVO einem höheren Schutz unterstellt sind, war dies für den Datenschutzbeauftragten des Landes Niedersachsen nicht tragbar. Veraltete Software kann zur Gefahr werden Das Unternehmen aus Niedersachsen hatte einen Datenschutzvorfall an die Behörden gemeldet. Im Rahmen dieser Meldung überprüften die Behörden unter anderem auch die verwendeten technischen Sicherheitsmaßnahmen des Unternehmens und stellten fest, dass es Verstoß gegen die Vorschriften von Art. 25 und Art. 32 der DSGVO vorlagen. Strafmildernd für das Unternehmen kam allerdings hinzu, dass es alle Nutzer bereits darüber informiert hatte, dass ein Wechsel des Passworts notwendig sei. Dennoch waren die Verstöße so groß und so tiefgehend, dass eine Strafe in Höhe von 65.500 Euro ausgesprochen wurde. Denn die vom Unternehmen verwendete Software war nicht nur schlecht aktualisiert, sondern entsprach in ihrer technischen Sicherheit nicht einmal veralteten technischen Standards. Unter anderem wurde kein "Salt" verwendet, was die Berechnung der verschlüsselten Passwörter deutlich erschwert hätte. Trotz Warnungen hat das Unternehmen nicht reagiert Das große Problem war, dass das Unternehmen nicht auf die verschiedenen Warnungen reagiert hatte. Denn die vom Unternehmen verwendete Software xt:Commerce wurden in der Version 3.0.4 SP2.1 eingesetzt. Der Hersteller selbst warnt auf seiner Website davor, die 3. Version der Software zu nutzen, da diese über erhebliche Sicherheitsmängel verfügt und nicht mehr mit Updates versorgt wird. Diese Sicherheitslücken ermöglichen es unter anderem Angreifern, eine SQL-Injection durchzuführen. Dass das Unternehmen sich dementsprechend nicht um eine Aktualisierung der Software gekümmert habe, war Grund genug, einen deutlichen Verstoß gegen die DSGVO festzustellen. Da die verschiedenen technischen Möglichkeiten in diesem Bereich mit einem relativ geringen technischen Aufwand zu implementieren gewesen wären, liegt die Verantwortung für diese Sicherheitslücke klar im Unternehmen selbst und ist diesem zuzuschreiben. Unternehmen müssen auf technische Veränderungen achten Was deutlich wird ist, dass Unternehmen viel stärker auf Themen wie Datenschutz achten müssen, da die Strafen in diesem Bereich sehr hoch ausfallen können. Während viele Unternehmen vor allem darauf achten, dass die verwendete Software, beispielsweise bei einem Shop-System, zum Zeitpunkt der Erstellung auf dem neuesten Stand ist, verliert diese Sicherheit mit der Zeit anscheinend an Bedeutung. Eine regelmäßige Prüfung und auch Aktualisierung erfolgten oftmals aus Kostengründen nicht. Dies sorgt nicht nur für mehr Gefahren und, wie zu sehen, für höhere Strafen, sondern wird auch dann problematisch, wenn eine Aktualisierung durchgeführt werden soll. Durch zu viele verpasste Versionsschritte ist ein Update oftmals kaum mehr möglich. Das bedeutet, dass das Unternehmen erneut die Kosten für eine komplette Neuerstellung der Web-Präsenz tragen muss. Diese Kosten übersteigen die laufenden Kosten für Wartung und Aktualisierung bei Weitem. Daher sollten Unternehmen immer darauf achten, die genutzte Software aktuell zu halten und somit Sicherheitslücken zu schließen. Die vergleichsweise geringen Kosten rechtfertigen solche Aktualisierung in jedem Fall. Quelle: © Jürgen Fälchle / Adobe Stock