Online-Shops auf dem Prüfstand – 65.500 Euro Strafe nach Meldung einer Datenpanne wegen alter Software

Der Online-Shop verwendete eine veraltete Software, was wiederum zu Sicherheitslücken führte. Gerade Kundenpasswörter wurden nicht ausreichend geschützt, wodurch eine hohe Gefahr des Datenzugriffs durch unbefugte Dritte bestand.

Wie der Fall zeigt, kann bereits die Gefahr eines Datenzugriffs durch Dritte nicht nur mit einem Imageverlust, sondern auch mit hohen Bußgeldern geahndet werden. Grundsätzlich können Datenschutzaufsichtsbehörden bei fehlender oder unzureichender Umsetzung technischer und organisatorischer Maßnahmen (TOM) ein Bußgeld von bis zu 10 Mio. Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, je nachdem, welcher der Beträge höher ist.

Da die niedersächsische Datenschutzbeauftragte durch die gesetzlich erforderliche Meldung einer Datenpanne den Online-Shop technisch prüfte und auf die veraltete Software aufmerksam wurde, soll dieser Beitrag nicht nur die gesetzlichen Anforderungen an TOM darstellen, sondern auch Handlungsempfehlungen für den Fall einer Datenpanne geben.

Technisch-organisatorische Maßnahmen (TOM)

Die Anforderungen an TOM ergeben sich aus den Artikeln 25 und 32 der Datenschutzgrundverordnung („DSGVO“). Nicht nur Verantwortliche, sondern auch Auftragsverarbeiter müssen ein angemessenes Schutzniveau personenbezogener Daten gewährleisten. Dabei gilt es, (i) den Stand der Technik, (ii) die Implementierungskosten, (iii) Art, Umfang, Umstände und Zweck der Verarbeitung sowie (iv) unterschiedliche Eintrittswahrscheinlichkeiten und (v) das jeweilige Risiko für die Rechte der Betroffenen zu berücksichtigen. Zudem müssen die ergriffenen Maßnahmen regelmäßig überprüft und ggf. aktualisiert werden.

Das Gesetz nennt als Beispiele von TOM

•    die Pseudonymisierung und Verschlüsselung personenbezogener Daten; 
•    die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
•    die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
•    ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Passwörter müssen durch Verschlüsselung ausreichend geschützt werden

Doch warum gab die von dem Online-Shop verwendete Software Anlass zur Verhängung eines Bußgeldes? Die verwendete Software konnte keine ausreichende Verschlüsselung personenbezogener Daten gewährleisten. Für die Website des Online-Shops wurde die Web-Shop-Anwendung xt:Commerce in der Version 3.0.4 SP2 verwendet, die seit 2014 veraltet ist und vom Hersteller nicht mehr mit Sicherheitsupdates versorgt wurde. Hierdurch waren SQL-Injection-Angriffe möglich und selbst der Hersteller warnte davor, die Softwareanwendung weiterhin einzusetzen. Da nur eine für Passwörter ungeeignete Hashfunktion (MD5) verwendet wurde, war ein Zugriff auf die Klartext-Passwörter der Kunden möglich.

Nach Ansicht der niedersächsischen Datenschutzaufsichtsbehörde wäre ein Software-Update, die Implementierung einer Salt-Funktion und die Verwendung eines auf Passwörter ausgelegen Hash-Algorithmus für den Online-Shop nicht unzumutbar gewesen und hätte daher umgesetzt werden müssen, um die personenbezogenen Daten der Kunden ausreichend zu schützen.

Wie das Beispiel zeigt, sind nicht alle Verschlüsselungstechnologien gleich geeignet. Vielmehr kommt es darauf an, in Anbetracht der aktuellen technologischen Entwicklungen regelmäßig zu prüfen, wie personenbezogenen Daten mit zumutbaren Kosten und zumutbarem Aufwand geschützt werden können. Als Praxistipp sollten die Empfehlungen des Bundesamts für Sicherheit und Informationstechnik (BSI) berücksichtigt werden.

„Datenpanne“ – und jetzt? Meldung ist erforderlich

Da die niedersächsische Datenschutzbeauftragte durch die Meldung einer Datenpanne (Art. 33 DSGVO) auf die veraltete Software aufmerksam wurde, zeigt sich, dass bei der Meldung selbst, äußerste Vorsicht geboten ist.

Unternehmen, die personenbezogene Daten verarbeiten, müssen Verletzungen personenbezogener Daten unverzüglich, aber mindestens innerhalb von 72 Stunden der Datenschutzbehörde melden. Nur wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Person führt, muss keine Meldung erfolgen. Die Verantwortlichen müssen die betroffene Person selbst benachrichtigen, wenn ein hohes Risiko für ihre Rechte besteht. Beispielsweise, wenn Kreditkarteninformationen oder Adressen frei zugänglich waren.

Die Meldung muss Art und Umfang der Verletzung, Name und Kontaktdaten des Datenschutzbeauftragten, eine Abschätzung der Folgen und ergriffene sowie geplante Maßnahmen zur Schadensbegrenzung enthalten. Sollten nicht alle Informationen gleichzeitig vorliegen, sind die fehlenden Angaben der Aufsichtsbehörde unverzüglich nachzumelden.

Handlungsempfehlungen: Vorsicht bei der Formulierung der Meldung

Die Meldung eines Verstoßes sollte nicht leichtgenommen werden. Obwohl noch nicht höchstrichterlich entschieden wurde, ob Datenschutzbehörden Informationen aus Meldungen einer Datenpanne zuungunsten des Unternehmens verwenden dürfen, sollte auf eine vorsichtige Formulierung der Meldung geachtet werden. Dabei sollte die Meldung vollständig sein, ohne jedoch Anlass zu weiteren Nachforschungen zu geben.

Es sollte daher schon vor Meldung der Datenpanne intern genau dokumentiert werden, was geschehen ist und welche Gegenmaßnahmen ergriffen werden. Je verständlicher und nachvollziehbarer die Erklärung, desto eher kann ein Bußgeld ausgeschlossen werden.

Darüber hinaus sollten Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) einführen. Dies erleichtert die Umsetzung und den Beweis der gesetzlichen Vorgaben an TOM und ermöglicht eine fortwährende Überprüfung und Anpassung des Sicherheitskonzepts.