Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

Datenschutzbeauftragte Niedersachsen: 65.500,- EUR DSGVO-Bußgeld gegen Online-Shop wegen veralteter Technik

Wie die Datenschutzbeauftragte von Niedersachsen in ihrem Tätigkeitsbericht 2020 mitteilt, hat sie gegen einen Online-Shop wegen veralteter Technik ein DSGVO-Bußgeld iHv. 65.500,- EUR verhängt.

Anknüpfungspunkt war dabei die unzureichende Umsetzung der technisch-organisatorischen Maßnahmen (TOM) auf der besagten Webseite:

"Ich nahm eine Meldung gem. Artikel 33 DS-GVO zum Anlass, die Internetseite eines Unterneh­mens unter technischen Gesichtspunkten zu prüfen. Dabei stellte sich heraus, dass auf der Seite die Web-Shop-Anwendung xt:Commerce in der Version 3.0.4 SP2.1 verwendet wurde.

Diese Ver­sion ist seit spätestens 2014 veraltet und wird vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Die genutzte Software enthielt erhebliche Sicherheitslücken, auf welche der Hersteller hingewiesen hatte. Die Sicherheitslücken ermöglichten unter anderem SQL-Injection-Angriffe. Auch der Hersteller warnte davor, die Version 3 der Software weiter einzusetzen. (...)"

Und weiter:

"Meine Ermittlungen ergaben, dass die in der Datenbank abgelegten Passwörter zwar mit der kryptographischen Hashfunktion „MD5“ gesichert waren, welche allerdings nicht auf den Ein­satz für Passwörter ausgelegt ist. Eine schnelle Berechnung' der Klartext-Passwörter wäre daher möglich gewesen. Auch existieren sog. „Rainbow-Tables“ im Internet, anhand derer - ganz ohne Berechnung - das zu einem Hash gehörige Passwort abgelesen werden kann.

Hinzu kam, dass kein „Salt“ verwendet wurde. Ein solcher Salt, der für jedes Passwort individuell generiert wird, verlängert ein Passwort und erschwert so die systematische Berechnung deutlich. Ziel des Salt ist es, dass der Angreifer für jedes Passwort eine komplette Neuberechnung durch­führen muss und vorgefertigte Rainbow-Tables wertlos werden. Ohne Salt genügte hingegen eine gemeinsame Berechnung für die komplette heruntergeladene Datenbank.

Ohne entsprechende Sicherheitsvorkehrungen wäre es im vorliegenden Fall mit überschaubarem Aufwand möglich gewesen, die Klartext-Passwörter zu ermitteln und dann weitere Angriffsvek­toren auszuprobieren. Ein Angreifer hätte die ermittelten Passwörter z.B. bei den ebenfalls in der Datenbank hinterlegten E-Mail-Adressen testen und im Erfolgsfall erhebliche (Folge-)Schäden anrichten können."

Aufgrund dieser unzureichenden technischen Absicherung verhängte die Datenschutzbeauftragte ein Bußgeld iHv. 65.500,- EUR.

Bei der Bestimmung der Höhe berücksichtigte nach eigenen Angaben strafmildernd, dass der betroffene Shop bereits vor dem Bußgeldverfahren seine Kunden darüber informiert hatte, dass ein Wechsel des Passwortes notwendig sei.

Rechts-News durch­suchen

13. Dezember 2024
Ansprüche auf DSGVO-Schadensersatz und Unterlassung verjähren nach 3 Jahren ab Kenntnis der Umstände und sind dann nicht mehr durchsetzbar.
ganzen Text lesen
10. Dezember 2024
DSGVO-Ansprüche wie Auskunft oder Schadensersatz können durch arbeitsvertragliche Ausschlussfristen wirksam eingeschränkt werden, wenn…
ganzen Text lesen
09. Dezember 2024
Webseiten dürfen Google reCAPTCHA nur mit ausdrücklicher Nutzer-Einwilligung einsetzen, da es nicht technisch notwendig ist und berechtigte Interessen…
ganzen Text lesen
06. Dezember 2024
Der Auskunftsanspruch nach Art. 15 DSGVO verjährt nicht und kann jederzeit geltend gemacht werden, da er ein eigenständiger Primäranspruch ist.
ganzen Text lesen

Rechts-News durchsuchen