Mangelnde Passwort-Hashes nicht zwingend DSGVO-Verstoß

In einem ganz anderen Zusammenhang hebt das LG Frankfurt am Main mit Urteil vom 18.09.2020, 2-27 O 100/20, hervor, dass nicht alleine der Verzicht auf Passwort-Hashes Sicherheitsbedenken begegnet. Vorliegend ging es um den Zusammenhang, dass jemand PCI-DSS-Standards verletzt sah, weil die Primary Account Number (PAN, d.h. die Kreditkartennummer) ohne Verwendung von Hashes gespeichert wurde. Dem entgegnet das Landgericht:

Auf die unterlassene Verwendung von Hashes kann der Kläger gleichfalls keinen Schadensersatzanspruch stützen, weil ein Verstoß gegen die DSGVO nicht vorliegt. Bei der Verarbeitung der personenbezogenen Daten muss eine angemessene Sicherheit gewährleistet sein, Art. 5 Abs. 1 f) DSGVO.

Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung, wobei die Anforderungen in Art. 32 DSGVO festgelegt werden. Art. 32 Abs. 1 a) DSGVO erwähnt zwar Verschlüsselung als technisches Maßnahme, fordert die Anwendung von Hashes aber gerade nicht. Selbiges gilt für die PCI-DSS-Standards.

Fachanwalt für IT-Recht Jens Ferner