Die niedersächsische Datenschutzbeauftragte hat ein Bußgeld in Höhe von 65.000 Euro gegen den Betreiber eines Online-Shops verhängt. Wie sich aus dem Tätigkeitsbericht 2020 der Behörde ergibt, war der Anlass dafür ein veraltetes Shopsystem, das nicht mehr auf dem Stand der Technik war und erhebliche Sicherheitslücken enthielt. Mit verhältnismäßig geringem Aufwand wäre es für Fremde möglich gewesen, in den Besitz der Zugangsdaten aller in der Software registrierten Personen zu kommen.
Auf der Website wurde laut dem Bericht die Webshop-Anwendung „xt:Commerce in der Version 3.0.4 SP2.1“ verwendet. Schon seit 2014 wurde dieses Programm vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Vor den Sicherheitslücken, die mit der fehlenden Aktualisierung einhergingen, hatte der Hersteller der Software gewarnt.
Wer personenbezogene Daten als Verantwortlicher oder Auftragsverarbeiter verarbeitet, der muss sich nach der DSGVO mit den sogenannten technisch-organisatorischen Maßnahmen, kurz TOM, auseinandersetzen. Auch vor der DSGVO war das bereits der Fall, allerdings war eine unzureichende Umsetzung hier noch nicht bußgeldbewährt. Mittels der TOM sollen Risiken für personenbezogene Daten bereits vor der Verarbeitung überprüft, abgewogen und durch entsprechende Maßnahmen minimiert werden. Zu diesen Maßnahmen, von denen einige typische in Art. 32 DGSVO genannt werden, gehört zum Beispiel die Pseudonymisierung und Verschlüsselung der personenbezogenen Daten.
Diese Maßnahmen müssen dabei nicht nur dann einen ausreichenden Schutz gewährleisten, wenn sie sozusagen in Kraft gesetzt werden, sondern auch stets zu dem Zeitpunkt, zu dem die Datenverarbeitung stattfindet. Sie müssen, sofern erforderlich, also auch überprüft und aktualisiert werden – schließlich entwickeln sich die technischen Möglichkeiten und Gefahren ebenfalls weiter. Mit anderen Worten: Will man ein Programm nutzen, in dem personenbezogene Daten verarbeitet werden, muss ein ausreichender Schutz nicht nur in der Anfangsphase überprüft werden und gegeben sein, sondern eben auch noch Jahre später, wenn dieses Programm immer noch Verwendung findet.
Wie es im Tätigkeitsbericht der Datenschutzbehörde heißt, wurde die hier genutzte Software nun aber schon länger nicht mehr mit Updates versorgt. Dadurch wurden etwa sogenannte SQL-Injection-Angriffe ermöglicht, mittels derer Angreifer eigene Befehle in die genutzte Datenbank einschleusen können. Die Inhalte der Datenbank, so etwa die Zugangsdaten, können damit ausgegeben oder auch gelöscht werden. Selbst das Herunterfahren des gesamten Servers sei möglich.
Auch sei kein „Salt“ verwendet worden. Dabei handelt es sich um eine Zeichenfolge, die an ein Passwort angehängt wird und eine Berechnung verschlüsselter Passwörter erheblich erschwert. Zwar sei vorliegend eine Sicherung über eine kryptografische Hashfunktion erfolgt, mittels derer die zu schützenden Daten sozusagen zerhackt und verteilt werden. Diese, hier die Hashfunktion „MD5“, sei jedoch nicht auf die Sicherung von Passwörtern ausgelegt gewesen, sodass eine Berechnung der Passwörter einfach möglich gewesen wäre. Der Aufwand zur Implementierung solcher Sicherheitsvorkehrungen wäre überschaubar gewesen, heißt es weiter, zumal wenn diese mit neueren Software-Versionen Einzug halten. Auch sonst würde die Aktualisierung der eingesetzten Software üblicherweise ausreichen, um Schwachstellen zu schließen.
In diesem Fall waren die getroffenen technischen Maßnahmen allerdings eben nicht ausreichend bzw. angemessen, sodass ein Verstoß gegen Art. 32 Abs. 1 DSGVO vorlag. Das Bußgeld in Höhe von 65.500 Euro akzeptierte das betroffene Unternehmen. Bei der Zumessung der Geldbuße berücksichtigte die Datenschutzbeauftragte auch, dass das Unternehmen betroffene Personen schon vor dem Bußgeldverfahren darüber informiert hatte, dass Passwörter gewechselt werden müssten.
Weitere Informationen zum Fall und den notwendigen technisch-organisatorischen Absicherungen finden sich im besagten Tätigkeitsbericht 2020 der niedersächsischen Datenschutzbeauftragten ab Seite 95.