Kategorien
Datenschutzrecht IT-Recht & Technologierecht IT-Sicherheit

Mangelnde Passwort-Hashes nicht zwingend DSGVO-Verstoß

Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)

In einem ganz anderen Zusammenhang hebt das LG Frankfurt am Main mit Urteil vom 18.09.2020, 2-27 O 100/20, hervor, dass nicht alleine der Verzicht auf Passwort-Hashes Sicherheitsbedenken begegnet. Vorliegend ging es um den Zusammenhang, dass jemand PCI-DSS-Standards verletzt sah, weil die Primary Account Number (PAN, d.h. die Kreditkartennummer) ohne Verwendung von Hashes gespeichert wurde. Dem entgegnet das Landgericht:

Auf die unterlassene Verwendung von Hashes kann der Kläger gleichfalls keinen Schadensersatzanspruch stützen, weil ein Verstoß gegen die DSGVO nicht vorliegt. Bei der Verarbeitung der personenbezogenen Daten muss eine angemessene Sicherheit gewährleistet sein, Art. 5 Abs. 1 f) DSGVO.

Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung, wobei die Anforderungen in Art. 32 DSGVO festgelegt werden. Art. 32 Abs. 1 a) DSGVO erwähnt zwar Verschlüsselung als technisches Maßnahme, fordert die Anwendung von Hashes aber gerade nicht. Selbiges gilt für die PCI-DSS-Standards.

Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Unsere Rechtsanwälte sind spezialisiert auf Strafverteidigung im gesamten Strafrecht sowie Tätigkeit für Unternehmen im IP- & IT-Recht. Rechtsanwalt Jens Ferner ist als Fachanwalt für Strafrecht und Fachanwalt für IT-Recht Ihr Profi in Strafverteidigung, IT-Recht und Arbeitsrecht. Strafverteidiger-Notruf: 0175 1075646.

Call Now Button