Verstoss gegen DSGVO 05.08.2021, 22:57 Uhr

Online Shop muss wegen Sicherheitslücken 65.500 Euro büssen

Den Betreiber eines Online Shops kommt seine Nachlässigkeit teuer zu stehen: Aufgrund einer veralteten Technik muss er 65.500 Euro Bussgeld zahlen. Das geht aus dem niedersächsischen Tätigkeitsbericht für das Jahr 2020 hervor.
(Quelle: Shutterstock.com/Den Rise)
Im niedersächsischen Tätigkeitsbericht für das Jahr 2020 fasst die niedersächsische Datenschutzbeauftragte Barbara Thiel das Strafausmass für einen Online-Shop-Betreiber zusammen. Dieser hatte gegen Art. 32 Abs. 1 DSGVO verstossen, da sein Shopsystem erhebliche Sicherheitslücken aufwies.

Sicherheitslücken durch fehlende Updates

Das Shopsystem war nicht auf den aktuellen Stand der Technik gebracht worden, wodurch es für Angreifer ein Leichtes gewesen wäre, auf die Zugangsdaten aller in der Software registrierten Personen zuzugreifen. Laut Tätigkeitsbericht sei auf der Website die Webshop-Anwendung "xt:Commerce in der Version 3.0.4 SP2.1" verwendet worden. Der Hersteller hatte bereits seit 2014 keine Sicherheitsupdates mehr zur Verfügung gestellt und davor gewarnt, dass ohne die Aktualisierung der Software Sicherheitslücken entstünden.

Sicherheitsmassnahmen schützen Kundendaten

Nach DSGVO muss sich jeder, der personenbezogene Daten verantwortet oder verarbeitet, mit den technisch-organisatorischen Massnahmen, kurz TOM, auseinandersetzen. So sollen Risiken bereits vor der Verarbeitung der personenbezogenen Daten abgewogen und durch Massnahmen wie Pseudonymisierung und Verschlüsselung minimiert werden. Als Nutzer eines Shopsystems, in dem solch sensible Kundeninformationen verarbeitet werden, hätte sich der Webshop-Betreiber also um einen ausreichenden Schutz der Kundendaten kümmern müssen. Dieser Schutz und eventuelle Bedrohungen sind gemäss des Tätigkeitsberichts stets zu überprüfen, um Sicherheit zu gewährleisten.
Für die Software des Online-Shops seien schon länger keine Updates mehr durchgeführt worden. Für potenzielle Angreifer hätte so die Möglichkeit bestanden, eigene Befehle in die genutzte Datenbank einzuschleusen, sich die Zugangsdaten zu erschleichen, sie zu ändern oder sogar den gesamten Server herunterzufahren. Auch sei kein "Salt" genutzt worden. Dabei handele es sich um eine Zeichenfolge, die an ein Passwort angehängt werde und eine Berechnung verschlüsselter Passwörter erheblich erschwere.

Webshop-Betreiber akzeptiert Strafausmass

Laut Tätigkeitsbericht wäre der Aufwand für notwendige Sicherheitsvorkehrungen überschaubar gewesen. Normalerweise würde die Aktualisierung der eingesetzten Software ausreichen, um Schwachstellen zu schliessen. Der Webshop-Betreiber habe das Bussgeld akzeptiert. Die Datenschutzbeauftragte wiederum habe bei der Festlegung der Höhe berücksichtigt, dass das Unternehmen betroffene Personen schon vor dem Bussgeldverfahren darüber informiert hatte, dass Passwörter gewechselt werden müssten.

Autor(in) Julia Jeworowski



Das könnte Sie auch interessieren