Artikel 32 der DSGVO verpflichtet Unternehmen, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Dazu gehört ausdrücklich die regelmäßige Überprüfung und Aktualisierung eingesetzter Software. Wer seine Software nicht wartet, riskiert nicht nur Datenlecks, sondern auch empfindliche Bußgelder.
Was fordert Art. 32 DSGVO konkret?
Art. 32 Abs. 1 DSGVO fordert unter anderem die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen. Außerdem verlangt er ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen.
Für die Softwarewartung bedeutet das konkret:
- Sicherheitspatches zeitnah einspielen: Bekannte Schwachstellen in Frameworks, Bibliotheken und Betriebssystemen müssen zeitnah geschlossen werden
- Zugriffskontrollen überprüfen: Berechtigungen und Authentifizierungsmechanismen müssen regelmäßig auditiert werden
- Verschlüsselung aktuell halten: TLS-Konfigurationen und Verschlüsselungsalgorithmen müssen dem Stand der Technik entsprechen
- Backup und Recovery testen: Die Wiederherstellbarkeit personenbezogener Daten muss regelmäßig verifiziert werden
Wer haftet bei Datenlecks durch veraltete Software?
Die DSGVO kennt eine klare Verantwortungskette. Der Verantwortliche im Sinne der DSGVO – also das Unternehmen, das personenbezogene Daten verarbeitet – haftet grundsätzlich für die Sicherheit der Verarbeitung. Das gilt auch dann, wenn ein externer Dienstleister die Software entwickelt hat.
In der Praxis bedeutet das: Wenn Ihr KMU eine Webanwendung betreibt, die Kundendaten verarbeitet, und diese Anwendung wird gehackt, weil ein seit Monaten bekannter Sicherheitspatch nicht eingespielt wurde, haftet Ihr Unternehmen. Der Einwand, dass der Softwareentwickler den Patch nicht bereitgestellt habe, schützt Sie nicht vor der Aufsichtsbehörde.
Bußgelder und Schadenersatz: Reale Fälle
Europäische Datenschutzbehörden haben in den letzten Jahren mehrfach Bußgelder wegen mangelhafter technischer Schutzmaßnahmen verhängt. Typische Szenarien:
| Verstoß | Mögliche Konsequenz |
|---|---|
| Einsatz einer Software-Version mit bekannter kritischer Schwachstelle | Bußgeld wegen Verletzung der Pflicht zu technischen Schutzmaßnahmen |
| Keine Verschlüsselung personenbezogener Daten in der Datenbank | Bußgeld plus Schadenersatzansprüche Betroffener |
| Kein Backup-Konzept trotz Verarbeitung sensibler Daten | Bußgeld wegen mangelnder Verfügbarkeitssicherung |
| Fehlende Protokollierung von Zugriffen auf personenbezogene Daten | Bußgeld wegen fehlender Nachvollziehbarkeit |
Die Bußgelder können gemäß Art. 83 DSGVO bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist.
Wie KMU sich schützen: 5 konkrete Maßnahmen
- Wartungsvertrag mit Security-SLA abschließen: Definieren Sie vertraglich, dass kritische Sicherheitspatches innerhalb von 24 bis 48 Stunden eingespielt werden
- Regelmäßige IT-Security-Reviews durchführen: Mindestens halbjährlich sollte ein externer Experte Ihre Systeme prüfen
- Dependency-Monitoring einrichten: Automatische Benachrichtigungen bei neuen Schwachstellen in eingesetzten Bibliotheken
- Verarbeitungsverzeichnis aktuell halten: Dokumentieren Sie, welche Software welche personenbezogenen Daten verarbeitet
- Auftragsverarbeitungsvertrag (AVV) prüfen: Wenn ein Dienstleister Ihre Software wartet und dabei Zugang zu personenbezogenen Daten hat, ist ein AVV nach Art. 28 DSGVO Pflicht
Fazit
Softwarewartung ist nicht nur eine technische, sondern auch eine rechtliche Pflicht. Die DSGVO fordert explizit den Stand der Technik bei Schutzmaßnahmen. KMU, die ihre Software nicht regelmäßig aktualisieren, riskieren Datenlecks, Bußgelder und Vertrauensverlust bei Kunden. Investieren Sie in regelmäßige Wartung und machen Sie Datenschutz zum festen Bestandteil Ihrer Wartungsstrategie.