DSGVO: ein Fazit nach 3 Jahren: warum Datenschutz ernst genommen werden sollte

DSGVO-Bußgeld wegen veralteter Onlineshop-Software

von Rechtsanwältin Marina Dohm

Die Datenschutzbeauftragte des Landes Niedersachsen macht deutlich, dass die technischen Aspekte im Rahmen der DSGVO auch für entsprechende Bußgelder eine immer größere Rolle spielen. Zudem wird der Schutz von personenbezogenen Daten dabei in den Fokus genommen, um einen datenschutzwidrigen Umgang mit personenbezogenen Daten schon präventiv zu verhindern.

So hat sie ein Bußgeld in Höhe von 65.500,00 Euro gegen ein Unternehmen aus Niedersachsen verhängt, das einen Onlineshop mit veralteter Software betrieben hat. Dies stellte nach Ansicht der Behörde eine Bedrohung für die Daten dar, die in dem Webshop verarbeitet wurden. Eine konkrete Verletzung der Daten war jedoch noch nicht erfolgt. Dies geht aus einem kürzlich veröffentlichten Tätigkeitsbericht der Datenschutzbeauftragten hervor.

Verwendung veralteter Technik

Auf den Onlineshop aufmerksam geworden ist die Datenschutzbeauftragte durch die Meldung des Unternehmens an die Behörde hinsichtlich eines Datenschutzvorfalls. Im Rahmen dieser Meldung wurde durch die Behörde sodann auch der Onlineshop des entsprechenden Unternehmens unter technischen Gesichtspunkten überprüft. Dabei stellte sich heraus, dass auf der Seite des Webshops eine veraltete Technik verwendet wurde. Problematisch war dabei, dass die Software schon seit Jahren veraltet war und durch den Hersteller nicht mehr mit Sicherheitsupdates versorgt wird. Der Hersteller warnte sogar ausdrücklich davor, die Software weiter einzusetzen. Durch die Ermittlungen der Datenschutzbeauftragten stellte sich sodann heraus, dass die Sicherheitslücken vor allem darin bestanden, dass es Dritten leicht ermöglicht wird, Passwörter von der Website abzugreifen.

Verstoß gegen die DSGVO durch Einsatz der veralteten Technik

In dem Einsatz der veralteten Software sah die Datenschutzbeauftragte Niedersachsens einen erheblichen Datenschutzverstoß. So seien die von dem Unternehmen ergriffenen technischen Maßnahmen nicht angemessen, um dem Schutzbedarf der DSGVO nachzukommen. Die Behörde stützte sich dabei auf Art. 25 DSGVO, der den Datenschutz durch eine entsprechende Technikgestaltung und datenschutzfreundliche Voreinstellungen regelt sowie auf Art. 32 DSGVO, der Regelungen zur Sicherheit der Verarbeitung von Daten enthält.

Bußgeld in Höhe von 65.500 Euro verhängt

Die Datenschutzbeauftragte verhängte sodann ein Bußgeld in Höhe von 65.500,00 Euro gegen das Unternehmen. Dabei berücksichtigte die Datenschutzbeauftragte, dass das Unternehmen die Betroffenen Personen schon darüber informiert hatte, dass diese ihre Passwörter ändern müssen. Mit Sicherheit berücksichtigte die Behörde bei der Höhe des Bußgeldes zudem, dass der Softwarehersteller schon auf die entsprechenden Sicherheitslücken hingewiesen hatte und die möglichen Angriffsflächen auf die Passwörter der Nutzer bezogen waren, die entsprechend sensible Daten darstellen.

Fazit

Die Datenschutzbeauftragte macht durch diesen Fall deutlich, dass für die Frage des ausreichenden Schutzes von personenbezogenen Daten die technischen Anwendungen entscheidend sind und dies auch von den Behörden immer mehr berücksichtigt wird. So ist insbesondere der Stand der Technik dahingehend immer entscheidender, ob angemessene geeignete technische und organisatorische Maßnahmen bestehen, die dem Schutzbedarf der DSGVO gerecht werden.

Zudem wird durch diesen Fall deutlich, dass die Behörden durchaus von sich aus bei der Meldung von Datenschutzfällen auch über den Tellerrand hinaus gucken und nicht nur den gemeldeten Fall betrachten. Es ist somit bei dem Betrieb einer Website und vor allem bei dem Betrieb eines Webshops auch darauf zu achten, dass diese auf dem technisch neusten Stand sind, so dass der Schutz von personenbezogenen Daten gewährleistet ist. Dabei sind auch entsprechende Warnungen von Herstellern zu berücksichtigen.

Der Fall macht aber auch deutlich, dass die Behörde bei der Verhängung von Bußgeldern stets berücksichtigt, wie der für die Datenverarbeitung Verantwortliche auf einen entsprechenden Verstoß reagiert. So wurde auch vorliegend berücksichtigt, dass das Unternehmen schon von sich aus tätig geworden ist und die Betroffenen informiert hat.