„Never change a runing System“ – diesem Credo folgen sicherlich viele Unternehmen im Hinblick auf ihre digitale Infrastruktur. Wenn dies allerdings bedeutet, dass Einrichtungen, die der Datensicherheit dienen, nicht regelmäßig überprüft und gegebenenfalls aktualisiert werden, kann die Aufsichtsbehörde empfindliche Bußgelder verhängen. So hat der Datenschutzbeauftragte des Landes Niedersachsen ein Bußgeld in Höhe von Euro 65.500,- gegen ein Unternehmen festgesetzt, welches auf seiner Internetpräsenz eine veraltete Web-Shop-Software (xt:Commerce in der Version 3.0.4 SP2.1) verwendete. Diese Version der Software ist seit 2014 veraltet und wird vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Die Software enthielt erhebliche Sicherheitslücken, auf welche der Hersteller sogar hingewiesen hatte. Hierdurch wurden unter anderem SQL-Injection-Angriffe ermöglicht und die in der Datenbank abgelegten Passwörter hätten schnell im Klartext berechnet werden können. Diese und weitere Sicherheitslücken hätten im Angriffsfall erhebliche (Folge-)Schäden anrichten können. Die von der Datenschutzbehörde festgestellten Sicherheitsdefizite genügten nicht dem von Art. 32 DS-GVO vorgeschriebenen Schutzniveau; der Verantwortliche hatte es unterlassen, die in Art. 32 DS-GVO geforderten technischen und organisatorischen Maßnahmen (kurz TOM) auf dem aktuellen Stand der Technik zu halten.
Mit TOM soll sichergestellt werden, dass Risiken für personenbezogene Daten für jedes Verarbeitungsverfahren minimiert werden. Durch TOM sollen insbesondere die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit sowie die Belastbarkeit und Wiederherstellbarkeit der Systeme und Dienste gewährleistet werden. Außerdem gehört es zu den Anforderungen des Art. 32 DS-GVO, die TOM regelmäßig im Hinblick auf ihre Wirksamkeit zu überprüfen, zu bewerten und zu evaluieren. Neben den in Art. 32 DS-GVO genannten Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten, hat sich in der Praxis der Rückgriff auf die Anlage zu § 9 BDSG a.F. bewährt, in der Maßnahmen dargestellt sind, die zur Wahrung der Schutzziele aus Art. 32 DS-GVO geeignet sind.
Im Falle des vom Datenschutzbeauftragten des Landes Niedersachsen verhängten Bußgeldes hat dieser mildernd berücksichtigt, dass das Unternehmen seine Kunden vor dem Bußgeldverfahren darüber informiert hatte, dass ein Passwortwechsel erforderlich sei.
Dieses Beispiel zeigt deutlich, dass auch „funktionierende“ Systeme regelmäßig auf den Stand der Technik im Hinblick auf die Datensicherheit überprüft werden sollten.
Fazit: