Kategorien
Datenschutzrecht IT-Recht & Technologierecht IT-Sicherheit

Mangelnde Passwort-Hashes nicht zwingend DSGVO-Verstoß


 > Anwälte spezialisiert auf Strafrecht & IT-Recht < 

In einem ganz anderen Zusammenhang hebt das LG Frankfurt am Main mit Urteil vom 18.09.2020, 2-27 O 100/20, hervor, dass nicht alleine der Verzicht auf Passwort-Hashes Sicherheitsbedenken begegnet. Vorliegend ging es um den Zusammenhang, dass jemand PCI-DSS-Standards verletzt sah, weil die Primary Account Number (PAN, d.h. die Kreditkartennummer) ohne Verwendung von Hashes gespeichert wurde. Dem entgegnet das Landgericht:

Auf die unterlassene Verwendung von Hashes kann der Kläger gleichfalls keinen Schadensersatzanspruch stützen, weil ein Verstoß gegen die DSGVO nicht vorliegt. Bei der Verarbeitung der personenbezogenen Daten muss eine angemessene Sicherheit gewährleistet sein, Art. 5 Abs. 1 f) DSGVO.

Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung, wobei die Anforderungen in Art. 32 DSGVO festgelegt werden. Art. 32 Abs. 1 a) DSGVO erwähnt zwar Verschlüsselung als technisches Maßnahme, fordert die Anwendung von Hashes aber gerade nicht. Selbiges gilt für die PCI-DSS-Standards.

Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht
Letzte Artikel von Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht (Alle anzeigen)
Kontakt - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen

Sie erreichen uns telefonisch unter 02404-92100, wir bieten zudem einen Strafverteidiger-Notruf.

Kontakt - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen

Mail: kontakt@ferner-alsdorf.de. Auf Anfrage verschlüsselte Mails.

Kontakt - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen

Threema: Sicherer & datenschutzkonformer Kontakt zum Rechtsanwalt via Threema ( „FVNW2K7T“ ).