München, 09.08.2021: Unser Kooperationspartner im Bereich Datenschutzrecht, das Institut für Datenschutzrecht – Weller, dort dessen Geschäftsführer Herr Rechtsanwalt Sascha Weller, informiert in diesem Gastbeitrag über die weiterhin zunehmenden aktiven und meist ohne konkreten Anlass erfolgenden Datenschutzkontrollen der Aufsichtsbehörden:

Die Aufsichtsbehörden verstärken weiterhin die Datenschutzkontrollen. So kam es nun auch dazu, dass ein Unternehmen aus Niedersachsen 65.500 € Bußgeld zahlen musste, da es eine veraltete Software benutzt hatte, die Passwörter nicht angemessen absicherte.

Was war passiert?

Anlass des Verfahrens war eine Meldung eines Unternehmens an die Aufsichtsbehörde hinsichtlich eines Datenschutzvorfalls. Diese Meldung wurde zum Anlass genommen, weitere Prüfungen beim betroffenen Unternehmen durchzuführen. So wurde beispielsweise auch dessen Webseite unter technischen Gesichtspunkten überprüft. Hierbei stellte sich heraus, dass auf der Webseite eine Anwendung eingesetzt wurde, deren Version veraltet war und nicht mehr mit Sicherheitsupdates versorgt wurde. Die weiteren Ermittlungen der Aufsichtsbehörde ergaben, dass die in der Datenbank abgelegten Passwörter zwar „mit der kryptografischen Hashfunktion MD5 gesichert“ waren, diese jedoch nicht für den Einsatz mit Passwörtern ausgelegt ist. Hierdurch wäre eine Berechnung der Klartext-Passwörter und somit weitere Angriffsvektoren möglich gewesen. Die Aufsichtsbehörde kam somit zum Ergebnis, dass die vom betroffenen Unternehmen ergriffenen Maßnahmen nicht dem Schutzbedarf der DSGVO angemessen waren und setzte eine Geldbuße in Höhe von 65.500 € fest.

Praxisempfehlung:

Bereits seit Einführung der DSGVO im Jahr 2018 haben die Aufsichtsbehörden immer wieder angekündigt, auch aktive Prüfungen in den Unternehmen durchzuführen. Diese Ankündigung scheint zwischenzeitlich auch immer häufiger in die Praxis umgesetzt zu werden. Der oben geschilderte Fall einer aktiven Prüfung stellt zwischenzeitlich keinen Einzelfall mehr dar. Vielmehr ist davon auszugehen, dass dies in den kommenden Jahren wohl eher die Regel werden dürfte.

Ich werde Sie diesbezüglich natürlich weiter auf dem Laufenden halten!

Sascha Weller, Rechtsanwalt und externer Datenschutzbeauftragter, Institut für Datenschutzrecht – Weller