Alte Software, teure Software
LfD Nds verhängt 65.000 EUR Bußgeld wegen veralteter Software. Veraltete Software kann in mehrfacher Hinsicht teuer zu stehen kommen.
Zum einen führt veraltete Software ohne aktualisierte Sicherheitsupdates in aller Regel zu erheblichen Sicherheitslücken, mit den eigentlich bekannten möglichen Folgen und gravierenden Auswirkungen. Zusätzlich drohen erhebliche Bußgelder.
So hat die Landesbeauftragte für den Datenschutz Niedersachsen LfD Nds nach Angaben in Ihrem Jahresbericht für 2020 gegen einen Webshop ein Bußgeld in Höhe von immerhin 65.000 € verhängt, eben wegen Einsatzes veralteter Software.
In einem Web-Shop waren ungetrübt Anwendungen im Einsatz, die veraltet waren und SQL-Injections-Angriffe ermöglichten, was bedeutet die Zugangsdaten der Web-Shop-Nutzer waren mit geringfügigem Aufwand im Klartext lesbar.
Der Hersteller der Software hatte diese seit Jahren nicht mehr mit Sicherheitsupdates versehen und auch auf die hieraus resultierenden Sicherheitslücken hingewiesen.
Zudem hatte der Verantwortliche keine individuelle Saltfunktion mit aktuellem Hash-Algorithmus, der für Passwörter geeignet ist, verwendet, obwohl die Kosten für eine Implementierung hierfür nicht unverhältnismäßig sind. Insgesamt hätte ein Angreifer die ohne großen Aufwand zu ermittelnden Passwörter z.B. bei den ebenfalls in der Datenbank hinterlegten E-Mail-Adressen testen und erhebliche (Folge-)Schäden anrichten können. Der Verstoß liegt im Wesentlichen darin, dass auf diese Weise eben nicht ausreichende technisch-organisatorische Maßnahmen (TOM) getroffen waren, um ein adäquates Schutzniveau herzustellen.
Um die Belastbarkeit der Systeme sowie Dienste zu gewährleisten, müssen die technisch organisatorischen Maßnahmen mit dem Ziel Vertraulichkeit, Integrität, Verfügbarkeit eingerichtet werden.
Die DSGVO legt hierzu dem Verantwortlichen die Pflicht auf, dem jeweiligen Risiko entsprechend angemessene und geeignete technische und organisatorische Maßnahmen einzusetzen, d.h. der Verantwortliche ist verpflichtet entsprechend dem Schutzbedarf, ausgelegt an den in dem jeweiligen Verarbeitungsvorgang verarbeiteten Daten, ein angemessenes Schutzniveau für die Rechte und Freiheiten der natürlichen Person zu gewährleisten.
Ergriffene Maßnahmen müssen regelmäßig überprüft, evaluiert und angepasst werden.
Der Verantwortliche muss dafür, dass die technischen und organisatorischen Maßnahmen über den gesamten Verarbeitungszeitraum geeignet und angemessen sind, gem. Art. 5 Abs. 2 sowie gem. Art. 24 DSGVO den Nachweis erbringen, so dass im Zuge des Accountability-Grundsatzes auch ein Compliance- und Datenschutz-Managementsystem bestenfalls zusammen mit dem ISMS (Informationssicherheitsmanagementsystem) zu implementieren ist.
Dies bedeutet, neben vielen anderen Dingen:
Stellt der Hersteller keine Sicherheitsupdates mehr bereit, kann der Verantwortliche nicht mehr ohne weiteres dokumentieren, angemessene Maßnahmen ergriffen zu haben, vielmehr nimmt er ohne weitere Maßnahmen Sicherheitslücken in Kauf:
- Anschaffung dsgvo-konformer Software-Produkte, inkl. vertraglicher Zusicherung des Herstellers, dass das Produkt für den konkreten Zweck datenschutzkonform einsetzbar ist
- Sowohl nach der DSGVO als auch nach dem GeschGehG (Gesetz zum Schutz von Geschäftsgeheimnissen) sind die ergriffenen technischen und organisatorischen Maßnahmen im Laufe der Verarbeitung an den technischen Fortschritt anzupassen und basieren auf einer Risiko- und Schutzbedarfsanalyse.
Fallbezogenes Fazit:
Spätestens dann, wenn der Hersteller keine Updates mehr anbietet, läuft man Gefahr am falschen Ort zu sparen. Der Datenschutz schützt auch den Unternehmenserfolg. Ganz abgesehen davon, dass ein Bußgeld die finanzielle Leistungsfähigkeit eines Unternehmens immer empfindlich trifft.
