Datenschutz

65.500 Euro Bußgeld für Online-Shop wegen veralteter Technik

Veröffentlicht: 04.08.2021 | Geschrieben von: Melvin Louis Dreyer | Letzte Aktualisierung: 04.08.2021
Alte Schreibmaschine und Laptop auf dem Tisch

Die niedersächsische Datenschutzbeauftragte hat ein Bußgeld in Höhe von 65.000 Euro gegen den Betreiber eines Online-Shops verhängt. Wie sich aus dem Tätigkeitsbericht 2020 der Behörde ergibt, war der Anlass dafür ein veraltetes Shopsystem, das nicht mehr auf dem Stand der Technik war und erhebliche Sicherheitslücken enthielt. Mit verhältnismäßig geringem Aufwand wäre es für Fremde möglich gewesen, in den Besitz der Zugangsdaten aller in der Software registrierten Personen zu kommen. 

Auf der Website wurde laut dem Bericht die Webshop-Anwendung „xt:Commerce in der Version 3.0.4 SP2.1“ verwendet. Schon seit 2014 wurde dieses Programm vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Vor den Sicherheitslücken, die mit der fehlenden Aktualisierung einhergingen, hatte der Hersteller der Software gewarnt. 

Datenschutz macht technisch-organisatorische Maßnahmen im Online-Handel erforderlich

Wer personenbezogene Daten als Verantwortlicher oder Auftragsverarbeiter verarbeitet, der muss sich nach der DSGVO mit den sogenannten technisch-organisatorischen Maßnahmen, kurz TOM, auseinandersetzen. Auch vor der DSGVO war das bereits der Fall, allerdings war eine unzureichende Umsetzung hier noch nicht bußgeldbewährt. Mittels der TOM sollen Risiken für personenbezogene Daten bereits vor der Verarbeitung überprüft, abgewogen und durch entsprechende Maßnahmen minimiert werden. Zu diesen Maßnahmen, von denen einige typische in Art. 32 DGSVO genannt werden, gehört zum Beispiel die Pseudonymisierung und Verschlüsselung der personenbezogenen Daten.

Diese Maßnahmen müssen dabei nicht nur dann einen ausreichenden Schutz gewährleisten, wenn sie sozusagen in Kraft gesetzt werden, sondern auch stets zu dem Zeitpunkt, zu dem die Datenverarbeitung stattfindet. Sie müssen, sofern erforderlich, also auch überprüft und aktualisiert werden – schließlich entwickeln sich die technischen Möglichkeiten und Gefahren ebenfalls weiter. Mit anderen Worten: Will man ein Programm nutzen, in dem personenbezogene Daten verarbeitet werden, muss ein ausreichender Schutz nicht nur in der Anfangsphase überprüft werden und gegeben sein, sondern eben auch noch Jahre später, wenn dieses Programm immer noch Verwendung findet. 

Passwörter könnten ohne größere Schwierigkeiten ausgelesen werden

Wie es im Tätigkeitsbericht der Datenschutzbehörde heißt, wurde die hier genutzte Software nun aber schon länger nicht mehr mit Updates versorgt. Dadurch wurden etwa sogenannte SQL-Injection-Angriffe ermöglicht, mittels derer Angreifer eigene Befehle in die genutzte Datenbank einschleusen können. Die Inhalte der Datenbank, so etwa die Zugangsdaten, können damit ausgegeben oder auch gelöscht werden. Selbst das Herunterfahren des gesamten Servers sei möglich. 

Auch sei kein „Salt“ verwendet worden. Dabei handelt es sich um eine Zeichenfolge, die an ein Passwort angehängt wird und eine Berechnung verschlüsselter Passwörter erheblich erschwert. Zwar sei vorliegend eine Sicherung über eine kryptografische Hashfunktion erfolgt, mittels derer die zu schützenden Daten sozusagen zerhackt und verteilt werden. Diese, hier die Hashfunktion „MD5“, sei jedoch nicht auf die Sicherung von Passwörtern ausgelegt gewesen, sodass eine Berechnung der Passwörter einfach möglich gewesen wäre. Der Aufwand zur Implementierung solcher Sicherheitsvorkehrungen wäre überschaubar gewesen, heißt es weiter, zumal wenn diese mit neueren Software-Versionen Einzug halten. Auch sonst würde die Aktualisierung der eingesetzten Software üblicherweise ausreichen, um Schwachstellen zu schließen. 

In diesem Fall waren die getroffenen technischen Maßnahmen allerdings eben nicht ausreichend bzw. angemessen, sodass ein Verstoß gegen Art. 32 Abs. 1 DSGVO vorlag. Das Bußgeld in Höhe von 65.500 Euro akzeptierte das betroffene Unternehmen. Bei der Zumessung der Geldbuße berücksichtigte die Datenschutzbeauftragte auch, dass das Unternehmen betroffene Personen schon vor dem Bußgeldverfahren darüber informiert hatte, dass Passwörter gewechselt werden müssten. 

Weitere Informationen zum Fall und den notwendigen technisch-organisatorischen Absicherungen finden sich im besagten Tätigkeitsbericht 2020 der niedersächsischen Datenschutzbeauftragten ab Seite 95.

Über den Autor

Melvin Louis Dreyer
Melvin Louis Dreyer Experte für: IT- und Verbraucherrecht

Melvin ist seit Mitte 2018 Teil des juristischen Redaktionsteams. Er hat schon während seines Rechtswissenschaft-Studiums leidenschaftlich gerne Beiträge verfasst und Fachwissen vermittelt. Jetzt berichtet er als Redakteur regelmäßig zu rechtlichen Neuigkeiten und Fragestellungen in der Welt des E-Commerce und verwirklicht damit nebenbei auch noch seine Interessen an Gesellschaft und Wirtschaft. 

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Melvin Louis Dreyer

Kommentare  

#10 Stephan 2021-08-09 15:37
Dann kann man doch sicherlich getrost in der so fortschrittlich en Verwaltung für jeden PC, Server oder Drucker, der Windows 7, Windows 8, Exchange, Solar Winds, alte Firmware, einen 0-day exploit, etc. laufen hat oder haben könnte, eine Strafe von € 10.000 verhängen.

Da aber 1) die Verwaltung Kohle hat ohne Ende, lukriert von der Melkkuh Steuerzahler und 2) sich der Steuerzahler diese Ausgaben sowieso selbst bezahlen müsste würde das kaum Sinn machen.

Mit den so eingenommenen Milliarden, die man hier bekommen könnte, würde man aber sicherlich zb. eine Grüne-Paß App zusammen bekommen.

Die Verwaltung geriert sich immer mehr zum Schulmeister der verwalteten Bürger. Würde man den kleinen Unternehmen etwas mehr Luft zum Atmen lassen, so würde da wohl auch mehr Geld übrig sein. Da aber Gesetze, Richtlinien, Monopole (Google, Amazon, etc.) schon jetzt die das größte Problem der Unternehmer sind, nicht die Konkurrenz, sehe ich da wohl keine Änderung auf uns zukommen.

Das Schalten und Walten von Google und Amazon hat man jahrelang zugelassen. Jetzt ist es zu spät und man übt sich in kosmetischen Strafen, oder, so wie in diesem Fall, in drakonischen Verwaltungsstra fen die Aktionismus vortäuschen sollen in einer selbst bis auf das Bein verstaubten und verknöcherten Verwaltung.
Zitieren
#9 Ralf 2021-08-08 11:27
Zu: Dieter Brandes

"Es ist doch klar, der hat kein Geld dazu und zudem sind die Absatzzahlen wohl so gering"

Die Höhe der Strafe wird wird nach der schwere des Vergehens und dem Jahresumsatz berechnet.
Danach muss der Shop Betreiber mindestens einen mittleren 7 stelligen Umsatz haben muss.
Da sollte es auch möglich sein, den Shop aktuell zu halten.
Zitieren
#8 Andreas Schlagenhauf 2021-08-07 12:17
Ich persönlich finde die Strafe von 65.000 Euro schon sehr heftig. Wie einer der Vorredner schont hatte verlauten lassen: Der Shopbetreiber, um den es hier geht, wird möglicherweise kein Geld gehabt haben, von dem er sich die kostenpflichtig e neue Shop-Version hätte kaufen können, die ja immerhin mit derzeit 449 Euro aufwärts zu Buche schlägt.

ABER: So, wie xt:commerce damals als kostenlose Community-Versi on verfügbar war, so gibt es schon seit unglaublich vielen Jahren modified, was sich, wenn ich mich jetzt nicht gewaltig irre, von xt:commerce abgespaltet hatte. Der Modified Shop ist auch heute noch als kostenlose Community-Versi on verfügbar und es gibt eine riesige Gemeinde, die stetig an dieser Software arbeitet und Lücken regelmäßig schließt.

UND: Auch von xt:commerce gibt es nach wie vor eine Freeware in der Version 6, die nichts kostet.

Auf eine andere Shop-Software umzusteigen, muss also nicht zwangsläufig Hunderte oder Tausende Euro kosten, sondern kostet allenfalls Zeit. Und wer zu viele Stammdaten hat, der hat dank SQL über solche Tools wie zum Beispiel MySQLDumper die Möglichkeit der relativ einfachen Datenmigration. Das bedarf alles nur etwas Zeit, dann steht einem Shop-Umzug nicht wirklich etwas im Weg.

Wem diese Arbeit dann aber noch zu viel ist, was ja nur Zeit und kein Geld kostet, dem kann dann halt leider echt nicht mehr geholfen werden. Meine Meinung.

Viele Grüße und weiterhin gute Geschäfte.
Zitieren
#7 Uwe Schliebe 2021-08-07 09:44
Moin die Herren,

die Bürger haben es immer noch nicht kapiert, Brot und Spiele auf höchstem Niveau. Der "Plebs" schlägt sich untereinander und der "Kaiser" (EU/Bundesregie rung) reibt sich die Hände. Das ist ein Traum für die Blindpesen in der Verantwortung. Denn was juckt es die Eiche, welche Sau sich an ihr scheuert.

Und auch der Staat ist nur scheinbar für die Bürger/Unterneh mer da.
Bei Anzeigen zu Eigentumsdelikt en bekommt man die Antwort, das Verfahren wurde wegen Geringfügigkeit eingestellt, aber sie können auf ...!
Sorry, ich habe es so satt.
Zahlen wir unsere USt. oder Sozialabgaben nicht, da schlägt der Staat mit Härte zu, aber wir sollen gutes Geld schlechtem hinterherwerfen.

Schaut mal in die Statistik zur Entwicklung der Unternehmerzahl en, die letzten Jahre permanent rückläufig. Ich kann da nur sagen, kein Wunder, wer hat schon Lust 60-80 Stunden pro Woche zu buckeln und ständig vom Gesetzgeber in die "Fresse" zu kriegen.
Ich habe mir die Mühe gemacht und alle Kostenstellen aufgelistet, es sind fast 50 Pos. die Geld haben wollen, leider gibt es nur eine die Geld bringt. Irgendwie komisch!

China, die haben 1.200 Mrd. Menschen.
Die interessiert Europa (300 Mill.) nur als Absatzmarkt und als Quelle des Wissensklau. Warum sonst kaufen die hier Hochtechnologie firme auf, das sind keine Menschenfreunde ! Daheraus halte ich die Politik der derzeitigen Bundesregierung für einen peinlichen Witz.

Diese DSGVO Nummer ist auch nur ein billiges Trostpflaster für den entmündigten Bürger, schaut mal wie wir auf eure Daten achten.
facebook, whatsup, twitter, instagramm, amazon, google, bing, die haben die wichtigen Daten bereits. Somit kommt diese DSGVO Nummer wie immer 20 Jahre zu spät!
Digitalsteuer, was für ein Lacher. google hat bereits angekündigt, dass die Preise in einigen Ländern angepasst werden, aufgrund der Kostensteigerun g. Am Ende zahlt es der Unternehmer und somit der Verbraucher.
Zitieren
#6 Dieter Brandes 2021-08-06 12:34
BOOOODO,

endlich mal einer der Tacheles redet und noch einen oben drauf setzt. Ja, finde ich auch, die da oben gehören dann zumindest auch bestraft, für ihre Versäumnisse und Unzulänglichkeiten.

Prima Kommentar.
Zitieren
#5 Dieter Brandes 2021-08-06 12:33
Torsten!!!!

Du hast meinen Kommentar meiner Meinung nach nicht gelesen. Sonst hättest Du anders reagiert.
Es kann doch nicht, sein, dass man das Unternehmen damit anhalten will, eine neue Software zu kaufen, indem man die mit 65000 Euro bestraft.
Was denkst Du denn eigentlich, warum der shopbetreiber keine neue Software gekauft hat????
Es ist doch klar, der hat kein Geld dazu und zudem sind die Absatzzahlen wohl so gering, dass der shopbetreiber in diesem Fall überhaupt keine lohnenswerte Beute für Datendiebe wäre. Und selbst wenn, was wollten die dort holen, was Facebook, google und Co nicht sowieso schon haben und nutzen. Deren Server stehen wo anders, jedenfalls funktioniert das dort auch ganz anders.

Also einfach mal nachdenken.

Tip: Es wäre doch mal was, den Bürger und den Unternehmer einfach mal aufzuklären und an die Hand zu nehmen, evtl. sogar eine eigene Software für eine shop zu entwickeln. Sitzen doch genug Leute da in den tausenden Institutionen nur rum, die besser genutzt werden könnten. Auf zig Unter-Ebenen, anstatt einfach nur eine EU-Verwaltung zu haben, gibt es da noch Staaten, Länder, Kreise, Gemeinden. Was soll dieser Unsinn überhaupt. Auch da schon mal dran gedacht, all das Potential woanders für zu nutzen.

Du jedenfalls scheinst einer der ewig gestrigen Obrigkeitshörig en zu sein.

Ja schön bestrafen, anstatt zu helfen. Mit Drohungen zu versuchen die Welt besser zu machen. [Anm. d. Red.: Bitte bleiben Sie sachlich.].

Tut mir leid, aber da hilft doch auch keine Nettikette. So das ist meine Meinung und die würde ich gerne vertreten dürfen.
Zitieren
#4 Torsten 2021-08-05 14:40
@Dieter Brandes: Was ist daran verkehrt, Shopbetreiber dazu zu bewegen, ihre Software aktuell zu halten? Im genannten Fall bekam die Shopsoftware seit 2014! keine Sicherheitsupda tes mehr. Wer mit sensiblen Daten umgeht hat die Pflicht auf diese auch Acht zu geben.
Zitieren
#3 Bodo 2021-08-05 09:49
da die Steuereinnahmen des Staates und der Länder für das Auskommen der Sesselpupser offenbar nicht mehr reichen, ist es längst systemisch geworden die fehlenden Beträge durch uferlose Bussgelder auszugleichen. Ich habe noch nichts davon gehört dass Politiker (Scheuer, von der Leyen usw.) oder Behörden für ihre Fehler in irgend einer Form haften müssen geschweige denn Bussgelder an NGOs oder ähnliches entrichten.
der Staat entfernt sich immer mehr vom Bürger und seiner Lebensrealität.
Zitieren
#2 Dieter Brandes 2021-08-05 09:07
Eine Frechheit und Dreistigkeit vom Staat ohne gleichen. Die 65000 hätten man dann ja wohl eher dazu verwenden sollen, eine neue Software mit allem Bim-Bam-bBorum zu installieren.
Was denket sich so eine Mensch, wie diese sogenannte Datenschutzbeau ftragte eigentlich dabei. Lebt mit ihrem Salär wohl wie die Made im Speck und dröhnt dem Verbraucher Kosten auf, die nicht sein müssten.
Denn das ist es was letztendlich bei diesem ganzen Bürokratieschni ckschnack rauskommt.
1. unendliche Preisaufschläge
2. Druck auf die Erzeugerpreise, sodass letztlich das ganze Elend in den Billiglohnlände rn erst erzeugt wird.

Meine Lösung: Schmeisst diese ganzen Bürokratie über den Haufen oder macht sie wenigstens superschlank und dann gebt den Produzenten in Fernost oder dem Osten ein angemessenes Geld.
Jeder Cent, der hier an Strafen u.ä. bezahlt wird, der kommt damit in die Kanäle der "Pfeffersäcke" und sorgt damit für eine schlechte Welt.
Und auch diese ganze DSVGO und all diese Gesetze, die nun immer schneller und umfangreicher auf uns einprasseln, machen es immer Schlimmer.
Das ist der Ausverkauf des Abendlandes. Die Chinesen lachen sich ins Fäustchen, die haben das alles so nicht und machen uns gerade platt. Die sacken uns gerade ein und sind kurz davor den Knoten oben am Sack zu verschliessen und Väterchen RA und Konsorten bekommen das nicht mal mit. Es ist einfach ekelig, wie blöde RAte sind.
Zitieren
#1 Stephan 2021-08-05 07:42
Das heißt also unterm Strich: das Unternehmen ist für eine Datenschutzverl etzung, die in der Zukunft eventuell entstehen könnte, schon jetzt verklagt worden. Nett. Minority Report lässt grüßen.

Dass die Info vom "Hersteller" ist, ist insoferne interessant, da ja der "Hersteller" die neue Version verkaufen möchte. Die monierten SQL Injection Verweise sind, soviel ich weiß, wahr, aber wären behebbar gewesen. Aber natürlich ist alles, was älter ist, schlecht für die Hersteller von der ach so neuen, sicheren Software.
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.