In einem ganz anderen Zusammenhang hebt das LG Frankfurt am Main mit Urteil vom 18.09.2020, 2-27 O 100/20, hervor, dass nicht alleine der Verzicht auf Passwort-Hashes Sicherheitsbedenken begegnet. Vorliegend ging es um den Zusammenhang, dass jemand PCI-DSS-Standards verletzt sah, weil die Primary Account Number (PAN, d.h. die Kreditkartennummer) ohne Verwendung von Hashes gespeichert wurde. Dem entgegnet das Landgericht:
Auf die unterlassene Verwendung von Hashes kann der Kläger gleichfalls keinen Schadensersatzanspruch stützen, weil ein Verstoß gegen die DSGVO nicht vorliegt. Bei der Verarbeitung der personenbezogenen Daten muss eine angemessene Sicherheit gewährleistet sein, Art. 5 Abs. 1 f) DSGVO.
Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung, wobei die Anforderungen in Art. 32 DSGVO festgelegt werden. Art. 32 Abs. 1 a) DSGVO erwähnt zwar Verschlüsselung als technisches Maßnahme, fordert die Anwendung von Hashes aber gerade nicht. Selbiges gilt für die PCI-DSS-Standards.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.
- BGH zur korrekten Handhabung von Fristsetzungen für Beweisanträge - 18. April 2024
- EuGH zur Beweislast bei Erschöpfung von Unionsmarkenrechten in selektiven Vertriebssystemen - 17. April 2024
- EU-Verordnung zur Informationssicherheit - 17. April 2024