Bußgelder: Betrieb einer Webseite mit veralteter Software

Gegen einem Online-Shopbetreiber aus Niedersachsen wurde ein Bußgeld in Höhe von 65.500€ verhängt. Dem Betreiber wurde ein Verstoß gegen die Vorschriften von Art. 25 und Art. 32 der DSGVO nachgewiesen. Grund dafür ist eine, bereits 2014 abgelaufene und von dem Hersteller nicht mehr unterstütze, Version der Web-Shop-Anwendung, die in seinem Shop eingesetzt wurde. Die Version wies erhebliche Sicherheitslücken auf, die unter anderem SQL-Injection-Angriffe ermöglichten. Der Hersteller warnte ausdrücklich davon, diese Version ohne die notwendigen Updates weiter zu nutzen. Durch die Sicherheitslücke waren die abgespeicherten Kunden-Passwörter nicht ausreichend gesichert und die Ermittlung der Klartext-Passwörter durch potenzielle Angreifer lediglich mit einem überschaubaren Aufwand verbunden.

Die Aufsichtsbehörde geht von einem verhältnismäßigen Aufwand, der notwendig wäre, um die bereits bekannten Schwachstellen zu schließen. Normalerweise würde die Aktualisierung der eingesetzten Software ausreichen. Bei der Festlegung der Höhe des Bußgeldes wurde zugunsten der Firma berücksichtigt, dass das Unternehmen bereits vor dem Bußgeldverfahren die betroffenen Kunden über die potenziellen Gefahren informiert und ein Passwortwechsel angefordert hat.