Wegen veralteter Technik: E-Retailer muss 65.000 Euro zahlen
09.08.2021 - Weil ein Onlineshop während einer DSGVO-Prüfung ein veraltetes Shopsystem nutzte, muss der Betreiber ein Bußgeld in Höhe von 65.000 Euro entrichten.
von Susanne Broll
Als die niedersächsische Datenschutzbeauftragte den betroffenen Onlineshop überprüfte, verwendete dieser die Webshop-Anwendung 'xt:Commerce' in der Version 3.0.4 SP2.1. Diese gilt bereits seit 2014 als veraltet und wird vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Die Software enthalte "erhebliche Sicherheitslücken", die u.a. Angriffe auf die Datenbanksysteme ermöglichen, schreibt die Datenschutzbeauftragte in ihrem Tätigkeitsbericht für das Jahr 2020
. Auch der Hersteller weist auf die Sicherheitslücken hin und warnt davor, Version 3 der Software weiterhin zu nutzen. Bei ihrer Systemprüfung stellte die Datenschutzbeauftragte fest, dass insbesondere die Passwörter der KundInnen nicht ausreichend geschützt waren.
Aufgrund dieser unzureichenden technischen Absicherung von personenbezogenen Daten verhängte sie ein Bußgeld in Höhe von 65.500 Euro (wegen Verstoß gegen Art. 32 Abs. 1 DSGVO). Das Bußgeld hätte noch deutlich höher ausfallen können. Strafmildernd wirkte sich aus, dass der betroffene Shop bereits vor dem Bußgeldverfahren seine KundInnen dazu aufgefordert hatte, ihre Passwörter auszutauschen. Der nicht namentlich genannte Onlineshop-Betreiber hat das Bußgeld bereits akzeptiert.