Lesezeit: 3 Min
Warum sind technische und organisatorische Maßnahmen im Datenschutz so wichtig?
Im Datenschutz, der im Wesentlichen durch die Datenschutzgrundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG) festgelegt wird, spielen die technischen und organisatorischen Maßnahmen (TOM) eine tragende Rolle. Sie sollen dazu dienen, personenbezogene Daten vor dem Zugriff Unbefugter zu schützen und somit auch den Betroffenen, auf den durch die Daten Rückschlüsse gezogen werden können, vor Schaden zu schützen. Daher müssen diese auch immer auf dem aktuellen Stand der Technik bzw. der IT-Sicherheit sein.
Darauf achten auch die zuständigen Aufsichtsbehörden – besonders wenn es um die Meldung eines Datenschutzvorfalls geht. Dass eine mangelnde Aktualität der verwendeten Software dabei zu einer empfindlichen Strafe führen kann, musste jetzt ein Unternehmen aus Niedersachsen erfahren. Aufgrund veralteter Software, welche für den Webshop genutzt wurde, wurde ein Bußgeld von 65.000 € verhängt.
Datenschutz-Vorfall gemeldet – Aufsichtsbehörde prüfte angemessenen Schutz
Vorangegangen war ein Datenschutzvorfall, den das Unternehmen selber an die zuständige Aufsichtsbehörde – Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) – meldete, welche daraufhin den Internetauftritt genauer beurteilte. Dabei stellte sich heraus, dass das Unternehmen in seinem Online-Shop wohl eine veraltete Version einer Software verwendet hatte. Diese war, so die LfD in ihrem am 27.05.2021 erschienenen Tätigkeitsbericht weiter, schon seit 2014 nicht mehr aktuell und stellte nachweislich keinen ausreichenden Schutz mehr für die gespeicherten personenbezogenen Daten dar.
Darüber hinaus seien vom Hersteller keine weiteren Sicherheitsupdates mehr zur sicheren weiteren Verwendung zur Verfügung gestellt worden – weiter noch: der Hersteller warne sogar davor, dass Sicherheitslücken durch die fehlende Aktualisierung entstehen könnten.
Sicherheit mit veralteter Software nicht mehr gegeben
Durch die veraltete Software waren, nach Angaben der LfD Niedersachsen, die Daten nicht ausreichend geschützt. Darüber hinaus hätten trotz sogenannter „kryptographischer Hashfunktion“ die in der Software hinterlegten Passwörter ohne größere Probleme ausgelesen bzw. in Klartext entschlüsselt werden können, so die Aufsichtsbehörde weiter. So sei es ohne großen Aufwand möglich gewesen, auf personenbezogene Daten von Nutzern zurückzugreifen.
„Eine Hashfunktion ist ein Algorithmus, der aus einem Eingabewert (z. B. eine Nachricht oder eine Datei) einen Ausgabewert („Hash“) erzeugt.“ Quelle Wikipedia Ist eine Hashfunktion kryptographisch, so muss diese noch weitere Anforderungen zur Sicherheit erfüllen. Durch die ständige Weiterentwicklung vor allem von Hackerangriffen und der eingesetzten Tools, gelten diese aber teilweise nicht mehr als sicher und müssen vor der Anwendung durch einen Fachmann geprüft werden.
Im vorliegenden Fall sei die Hashfunktion nicht auf den Schutz von Passwörtern ausgelegt. Weiter besagt der Bericht der Aufsichtsbehörde, dass kein sogenanntes „Salt“ verwendet wurde, welches eine weitere Art der Kryptographie darstellt, um Daten im Klartext im Zusammenhang mit Hashfunktionen zu verschlüsseln und somit vor Zugriffen zu sichern.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu eine technische Richtlinie herausgegeben: Kryptographische Verfahren: Empfehlungen und Schlüssellängen.
IT-Sicherheit und Datenschutz
Das Beispiel zeigt, wie nah Datenschutz und IT-Sicherheit zusammenhängen. Betrachtet man die Vorgaben im Datenschutz, so sind sie sogar quasi als untrennbar anzusehen. Im Datenschutz müssen die zum Schutz personenbezogener Daten verwendeten Tools immer auch in einem angemessenen Maß dem aktuellen Stand entsprechen. Das bedeutet, das die Verwendung von veralteter Software für den Datenschutz in einer Organisation immer ein Problem im Datenschutz darstellt.
Die damit entstehende Sicherheitslücke darf nicht unterschätzt werden und kann, wie im vorliegenden Fall geschehen zu einer hohen Strafe führen. Dem Unternehmen wurde zugutegehalten, dass Sie bereits die betroffenen Nutzer über den Datenvorfall informiert haben. Damit fiel das Bußgeld von 65.000 €, welche das Unternehmen akzeptierte, noch verhältnismäßig mild aus.
DS-GVO Strafe wegen veralteter Technik
Das Beispiel zeigt: Das Verwenden von veralteter Software kann zu schwerwiegenden Sicherheitslücken im Datenschutz führen. Mit relativ wenig Aufwand sei es möglich gewesen, so die LfD Niedersachsen, eine aktuelle Version der Software einzuspielen und somit die Sicherheit der personenbezogenen Daten wieder herzustellen.
Das Unternehmen im vorliegendem Fall nutzte für seinen Online-Shop die Anwendung xt:Commerce in der Version 3.0.4 SP2.1, aber auch bei veralteten Windows Versionen kann es zu solchen Sicherheitslücken kommen. Daher sollte immer darauf geachtet werden, dass die neuste Version einer Anwendung verwendet wird und diese mit den aktuellen Sicherheitsupdates auf den neusten Stand gebracht wird.
Wenn eine Version nicht mehr vom Hersteller weiterentwickelt wird und keine Sicherheitsupdates mehr zur Verfügung gestellt werden, muss zwingend nach einer Alternative gesucht werden. Vor allem der Stand der Technik kann im Datenschutz ausschlaggebend sein.
Richtlinien im Datenschutz einhalten
Das Beispiel zeigt auch, dass sich die zuständigen Aufsichtsbehörden mit den Gegebenheiten in einer Organisation auseinandersetzen, wenn ein Vorfall im Datenschutz gemeldet wird. Eine stetige Aktualisierung und die Dokumentation des Datenschutzes und den damit zusammenhängenden Vorgaben kann nicht nur eine Panne im Datenschutz vermeiden, sondern auch sicherstellen und darlegen, dass der Datenschutz im Unternehmen auf eine bestmögliche Art und Weise gegeben ist.
Nicht erst, wenn ein Datenschutzvorfall vorliegt, sollte ein Fachmann hinzugezogen werden. Durch regelmäßige Datenschutz-Audits und eine kompetente Datenschutz-Erstberatung kann ein externer Datenschutzbeauftragter diese Funktion übernehmen. Unter bestimmten Voraussetzungen ist es sogar verpflichtend einen Datenschutzbeauftragten zu stellen – dies kann ebenfalls ein externer Datenschutzbeauftragter übernehmen.
Das Team von Datenschutzberater.NRW mit Fachleuten aus Datenschutz, IT und Steuerrecht und einem Netzwerk aus weiteren Fachleuten, ist Ihnen gerne bei der DS-GVO-konformen Aufstellung Ihres Datenschutzes behilflich. Unser Angebot finden Sie hier, oder nehmen Sie einfach mit uns Kontakt auf.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten. Wir betreuen Mandanten im Großraum Köln, Düsseldorf, Bonn, Siegen, Gummersbach, Siegburg und ganz NRW.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.