Bußgeld wegen veralteter Software für deutschen Online-Shop: 65.500€
Ein deutscher Web-Shop aus Niedersachsen hat sich eine Geldbuße in Höhe von 65.500 Euro wegen eines Verstoßes gegen Art. 32 DSGVO eingehandelt. Grund für das Bußgeld war die Verwendung veralteter Software, welche unter anderem die Passwörter der Kunden erheblich in Gefahr gebracht hatte. Dies ergibt sich aus dem kürzlich veröffentlichten Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen für das Jahr 2020 (siehe S. 97).
Aufgrund der veralteten Software war es unteranderem durch eine Berechnung möglich, Kunden-Kennwörter im Klartext einsehen zu können. Die unverschlüsselten Passwörter hatten bei der Verhängung des Bußgeldes eine maßgebliche Rolle gespielt.
Bekannt ist, dass es sich bei der besagten Software um die Anwendung xt:Commerce handelte. Der Online-Shop nutzte dieses Programm in einer völlig veralteten Version aus dem Jahr 2014, welches durch den Hersteller auch nicht mehr mit Sicherheitsupdates gepflegt wurde. Das Unternehmen wurde sogar von dem Softwarehersteller über diese Sicherheitslücke gewarnt – diese Warnungen fand jedoch kein Gehör und Abhilfemaßnahmen unterblieben, weshalb das oben genannte Bußgeld im vergangenen Jahr von der Behörde ausgesprochen wurde.
Die Behörde kam zu dem Ergebnis, dass die Verantwortlichen nicht die erforderliche Sorgfalt in puncto ihrer technischen und organisatorischen Maßnahmen (TOM) eingehalten habe, was letztendlich zu einem unzureichenden Schutzniveau und somit zur Gefahr für personenbezogenen Daten natürlicher Personen im Sinne der DSGVO führte.
Auch die AOK Baden-Württemberg hatte im vergangenen Sommer ein Millionen-Bußgeld mitunter wegen unangemessener TOM verhängt bekommen.
Mangelhafte oder unzureichende TOM kommen in der Praxis leider sehr häufig vor und stellen damit ein hohes Konfliktpotential dar. Verantwortliche sollten stets in enger Zusammenarbeit mit der IT und dem Datenschutzbeauftragten eine regelmäßige Überprüfung bzw. Auditierung der TOM durchführen.
Sollten Sie hierbei Fragen haben oder Unterstützung benötigen, stehen Ihnen die Experten der Keyed GmbH mit Rat und Tat zur Seite.
Herr Sebastian Feldmann ist als Datenschutzbeauftragter und Datenschutzauditor (zert. DSB & Auditor beim TÜV®), sowie als Consultant für Datenschutz bei der Keyed GmbH tätig. Als externer DSB, Auditor und Consultant für Datenschutz unterstützt er europaweit Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. In seiner ständigen Betreuung stehen Konzerne, kleine und mittelgroße Unternehmen, sowie Start-ups. Herr Feldmann zeichnet sich als Wirtschaftsjurist sowohl durch seine ökonomische als auch juristische Expertise im Datenschutzrecht aus.
„Um die Anforderungen von DSGVO, BDSG und weitere Rechtsvorschriften für unsere Kunden bestmöglich umzusetzen, ist eine stetige Fortbildung und ein ständiger Austausch mit den Landesdatenschutzbehörden – so wie wir es praktizieren – enorm wichtig.“