Achtung: Hohe Bußgelder bei veralteter Online-Shop-Software
Nach Inkraftsetzung der DS-GVO können nun Shopbetreiber, die noch eine veraltete Software in ihrem Online-Shop einsetzen, eine empfindlich hohe Geldstrafe erhalten. Bei Mängeln im technischen oder organisatorischen Bereich, können die Strafen bis zu zehn Millionen Euro hoch sein. Bei einem noch höheren Betrag, kann das Bußgeld sogar bis zu zwei Prozent des Jahresumsatzes der Firma betragen.
Wie wichtig ein aktualisiertes Shopsystem ist, zeigt sich in einem Fall, wo ein Onlineshop-Händler aufgrund starker Sicherheitslücken in seinem Shopsystem einen Bußgeldbescheid von über 65.500 Euro erhielt.
Der Online-Shop wurde unter Anbetracht technischer Faktoren überprüft. Heraus kam, dass die eingesetzte Web-Shop-Anwendung bereits seit 2014 als veraltet gilt und keine Sicherheitsupdates mehr erhält. Man fand schwerwiegende Sicherheitslücken in der Software, die dem Shop-Betreiber vom Hersteller allerdings mitgeteilt wurden. Die Passwörter in der Datenbank waren zwar mit der kryptographishen Hashfunktion MD5 abgesichert, diese ist aber für einen Passworteinsatz ungeeignet und könnte sehr leicht von Angreifern geknackt werden.
Die Strafe für das Unternehmen wurde durch die Tatsache gemildert, dass die betroffenen Personen noch vor Festsetzung der Bußgeldstrafe dazu aufgefordert wurden, ihr Passwort zu ändern. Somit würde die Geldstrafe im Normalfall sogar viel höher ausfallen!
Risiken sollen noch vor der Datenverarbeitung geprüft und minimiert werden
Die Absicherung von Passwörtern unterliegt gewissen Anforderungen, die sich aber mit der Zeit immer wieder ändern. Auf der Internetseite vom Bundesamt für Sicherheit in der Informationstechnik kann man sich über aktuelle Richtlinien informieren.
Bisher wurden ja sogenannte unzureichende technisch-organisatorische Maßnahmen (TOM) nicht mit Bußgeld bestraft. Dies hat sich aber mit dem Artikel 25 DS-GVO, insbesondere aber dem Artikel 32 DS-GVO geändert. Die DS-GVO fordert nun, dass etwaige Risiken für persönliche Daten noch vor einer Weiterverarbeitung durch TOM geprüft und minimiert werden sollen. Diese Maßnahmen seien für jedes Verfahren, egal ob nun bei der Einrichtung oder Verarbeitung, vorgesehen und sollen immer aktualisiert werden.
