12.08.2021 13:09

65.500 € Bußgeld wegen technisch veralteter Website


die DSGVO schreibt in Art. 32 vor, dass unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen zu treffen sind, um personenbezogene Daten zu schützen.

Das ist nichts Neues für Sie. Allerdings denkt nicht jeder in diesem Zusammenhang an die Website des Unternehmens. Der „Stand der Technik“ bedingt nämlich, dass das Unternehmen die Software hinter der Website immer aktuell halten muss.

Aktualisierungen stopfen häufig Sicherheitslücken

Der Grund dafür: Jede Software, also Content-Management-Systeme (CMS) bzw. Redaktionssysteme wie typo3 oder WordPress, und deren Erweiterungen bzw. Plugins werden regelmäßig aktualisiert. Zwar geht es dabei häufig um die Implementierung neuer Funktionen, regelmäßig werden dabei aber auch Sicherheitslücken gestopft.

Anders ausgedrückt: Je seltener die Komponenten einer Website aktualisiert werden, desto größer ist die Gefahr dass eine oder gleich mehrere Sicherheitslücken vorhanden sind, die Angreifer ausnutzen können.

Nun müssen Sie sicherlich nicht täglich prüfen, ob es Updates für die Website-Komponenten gibt. Allerdings sollten Sie es nicht so machen, wie das Unternehmen, das eine Web-Shop-Anwendung seit mindestens 2014 nicht mehr aktualisiert hatte. Seit diesem Jahr wurde die verwendete Version vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Der Hersteller warnte sogar ausdrücklich davor, diese Version weiter einzusetzen.

Passwörter konnten im Klartext ausgelesen werden

Aufgrund der Verwendung dieser alten Version war es mit überschaubarem Aufwand möglich, die Passwörter der Kunden im Klartext auszulesen. Der Datenschutzbeauftragte des Landes Niedersachsen hat daraufhin eine Geldbuße in Höhe von 65.500 € festgesetzt, weil die ergriffenen technischen Maßnahmen nicht dem Schutzbedarf der DSGVO angemessen gewesen seien.

Zugunsten des Unternehmens wurde bei der Festsetzung der Bußgeldhöhe berücksichtigt, dass es seine Kunden bereits vor dem Bußgeldverfahren über das Sicherheitsproblem informiert und zu einem Wechsel des Passwortes aufgerufen hatte. Andernfalls wäre das Bußgeld wohl noch höher ausgefallen.

Mein Vorschlag: Sparen Sie sich lieber solche Bußgelder, indem Sie die Komponenten der Unternehmens-Website regelmäßig auf vorhandene Aktualisierungen überprüfen bzw. überprüfen lassen, um diese dann zu installieren bzw. installieren zu lassen.

 

Quelle:PrivacyXperts