Bußgeld wegen veralteter Software

“Never chan­ge a runing Sys­tem” — die­sem Cre­do fol­gen sicher­lich vie­le Unter­neh­men im Hin­blick auf ihre digi­ta­le Infra­struk­tur. Wenn dies aller­dings bedeu­tet, dass Ein­rich­tun­gen, die der Daten­si­cher­heit die­nen, nicht regel­mä­ßig über­prüft und gege­be­nen­falls aktua­li­siert wer­den, kann die Auf­sichts­be­hör­de emp­find­li­che Buß­gel­der ver­hän­gen. So hat der Daten­schutz­be­auf­trag­te des Lan­des Nie­der­sach­sen ein Buß­geld in Höhe von Euro 65.500,- gegen ein Unter­neh­men fest­ge­setzt, wel­ches auf sei­ner Inter­net­prä­senz eine ver­al­te­te Web-Shop-Soft­ware (xt:Commerce in der Ver­si­on 3.0.4 SP2.1) ver­wen­de­te. Die­se Ver­si­on der Soft­ware ist seit 2014 ver­al­tet und wird vom Her­stel­ler nicht mehr mit Sicher­heits­up­dates ver­sorgt. Die Soft­ware ent­hielt erheb­li­che Sicher­heits­lü­cken, auf wel­che der Her­stel­ler sogar hin­ge­wie­sen hat­te. Hier­durch wur­den unter ande­rem SQL-Injec­tion-Angrif­fe ermög­licht und die in der Daten­bank abge­leg­ten Pass­wör­ter hät­ten schnell im Klar­text berech­net wer­den kön­nen. Die­se und wei­te­re Sicher­heits­lü­cken hät­ten im Angriffs­fall erheb­li­che (Folge-)Schäden anrich­ten kön­nen. Die von der Daten­schutz­be­hör­de fest­ge­stell­ten Sicher­heits­de­fi­zi­te genüg­ten nicht dem von Art. 32 DS-GVO vor­ge­schrie­be­nen Schutz­ni­veau; der Ver­ant­wort­li­che hat­te es unter­las­sen, die in Art. 32 DS-GVO gefor­der­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (kurz TOM) auf dem aktu­el­len Stand der Tech­nik zu halten.

Mit TOM soll sicher­ge­stellt wer­den, dass Risi­ken für per­so­nen­be­zo­ge­ne Daten für jedes Ver­ar­bei­tungs­ver­fah­ren mini­miert wer­den. Durch TOM sol­len ins­be­son­de­re die Schutz­zie­le Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit sowie die Belast­bar­keit und Wie­der­her­stell­bar­keit der Sys­te­me und Diens­te gewähr­leis­tet wer­den. Außer­dem gehört es zu den Anfor­de­run­gen des Art. 32 DS-GVO, die TOM regel­mä­ßig im Hin­blick auf ihre Wirk­sam­keit zu über­prü­fen, zu bewer­ten und zu eva­lu­ie­ren. Neben den in Art. 32 DS-GVO genann­ten Maß­nah­men der Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten, hat sich in der Pra­xis der Rück­griff auf die Anla­ge zu § 9 BDSG a.F. bewährt, in der Maß­nah­men dar­ge­stellt sind, die zur Wah­rung der Schutz­zie­le aus Art. 32 DS-GVO geeig­net sind.

Im Fal­le des vom Daten­schutz­be­auf­trag­ten des Lan­des Nie­der­sach­sen ver­häng­ten Buß­gel­des hat die­ser mil­dernd berück­sich­tigt, dass das Unter­neh­men sei­ne Kun­den vor dem Buß­geld­ver­fah­ren dar­über infor­miert hat­te, dass ein Pass­wort­wech­sel erfor­der­lich sei.

Die­ses Bei­spiel zeigt deut­lich, dass auch “funk­tio­nie­ren­de” Sys­te­me regel­mä­ßig auf den Stand der Tech­nik im Hin­blick auf die Daten­si­cher­heit über­prüft wer­den sollten.

Fazit:

  • Daten­ver­ar­bei­ten­de Sys­te­me müs­sen regel­mä­ßig auf ihr Aktua­li­tät und Daten­si­cher­heit über­prüft wer­den; so kön­nen Buß­gel­der ver­mie­den werden.
  • Daten­ver­ar­bei­ten­de Sys­te­me, die nicht mehr dem Stand der Tech­nik ent­spre­chen, bie­ten eine grö­ße­re Angriffs­flä­che und sind mit der DS-GVO nicht zu vereinbaren.
  • Die Sicher­heit von IT-Sys­te­men wird von Daten­schutz­be­hör­den oft­mals im Zusam­men­hang mit Daten­schutz­be­schwer­den überprüft.