Nach Art. 25 Abs. 1 Datenschutz-Grundverordnung (DSGVO) hat der Verantwortliche unter Berücksichtigung u. a. des Standes der Technik geeignete technische und organisatorische Maßnahmen zu treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. Zu dem Stand der Technik gehört auch der Einsatz einer Software, die aktuellen Sicherheitsstandards entspricht, d. h., zu der auch noch Updates zur Verfügung gestellt werden. Die Landesbeauftragte für Datenschutz Niedersachsen berichtete in ihrem 26. Tätigkeitsbericht 2020, S. 97 f., (vgl. den diesbezüglichen Link am Ende der Pressemitteilung der Landesbeauftragten vom 27.05.2021) über einen Vorgang, bei dem sie wegen des „Betriebs einer Internetseite mit veralteter Software“ ein Bußgeld verhängt habe. Aufgrund einer Meldung nach Art. 33 DSGVO („Datenschutzverletzung“) hatte sie die Internetseite eines Unternehmens unter technischen Gesichtspunkten geprüft. Dabei habe sich herausgestellt, dass auf der betroffenen Internetseite eine Webshop-Anwendung in einer Version „3.0.4 SP 2.1“ verwendet wurde, wobei diese Version seit spätestens 2014 veraltet sei und vom Hersteller nicht mehr mit Sicherheitsupdates versorgt würde. Die genutzte Software habe erhebliche Sicherheitslücken enthalten, auf welche auch der Hersteller hingewiesen habe. Der Hersteller habe daher davor gewarnt, die Version 3 der Software weiter einzusetzen. Die Landesbeauftragte stellte in Folge ihrer weiteren Ermittlungen fest, dass es ohne entsprechende Sicherheitsvorkehrungen mit überschaubarem Aufwand möglich gewesen wäre, die Klartext-Passwörter der Kunden zu ermitteln und dann weitere Angriffsvektoren auszuprobieren. Ein Angreifer hätte die ermittelten Passwörter testen und im Erfolgsfall erhebliche Schäden anrichten können.
Sie führte aus, dass die von dem Verantwortlichen ergriffenen technischen Maßnahmen nicht dem Schutzbedarf gemäß Art. 25 DSGVO angemessen waren. Aufgrund dessen habe sie eine Geldbuße in Höhe von 65.500,00 EUR festgesetzt, die das Unternehmen akzeptiert habe. Sie wies darauf hin, dass bei der Zumessung der Geldbuße zu berücksichtigen gewesen sei, dass das Unternehmen bereits vor Einleitung des Bußgeldverfahrens die betroffenen Personen darüber informiert hätte, dass ein Wechsel des Passwortes notwendig sei.
Aus diesem Vorgang, der vermutlich kein Einzelfall sein wird, kann abgeleitet werden, dass Unternehmen ausschließlich Software-Versionen verwenden sollten, zu denen der jeweilige Hersteller noch Updates liefert. Spätestens zu dem Zeitpunkt, zu dem der Hersteller verlauten lässt, dass es zu einer bestimmten Version keine Updates in Zukunft mehr geben werde, sollte die jeweilige Version umgehend durch eine neue Version oder ein anderes Software-Produkt ersetzt werden.
