Aktuell gibt es noch keinen Fall, als Datenschutzbeauftragter mache ich dennoch vorab darauf aufmerksam, was passieren könnte.
Am 28. November 2022 war das Ende von PHP-Version 7.4. Seitdem wurde diese PHP-Version nicht mehr mit Sicherheitsupdate versorgt.
Was ist eigentlich PHP und warum benötige ich das?
Lesen Sie dazu den Beitrag: Was ist PHP?
Die meisten Webhoster haben PHP7 bereits deaktiviert oder bieten diese Version nur noch mit Zusatzkosten an. In nächster Zeit werden immer mehr Hoster auf PHP7 verzichten und diese Version nicht mehr anbieten.
Was bedeutet das nun konkret?
Aktuell ist die PHP-Version 8, auch die PHP-Version 9 ist schon in Planung und soll bereits dieses Jahr als PHP-Major Version erscheinen.
Die meisten manchen sich sicherlich keine Gedanken, wie Ihre Website gehostet ist und was alles im Hintergrund für Software läuft. Viele Webseitenbetreiber benötigen auch noch die PHP-Version 7, da die Software, mit der die Website betrieben wird, nicht auf einer aktuellen Version läuft.
Im Prinzip ist es genauso wie mit einem Betriebssystem, es gibt immer wieder Updates und nach einer Weile erscheint eine komplett neue Version. Manche Unternehmen benötigen eine ältere Version, damit Ihre eingesetzte Software noch genutzt werden kann.
Eines Tages macht es absolut keinen Sinn mehr, ältere Versionen zu pflegen und es gibt deshalb auch keine Updates mehr. Werden Sicherheitsmängel bekannt, bleiben diese erhalten. Sicherheitslöcher können auch von Hackern genutzt werden, um in das System einzudringen, um unerwünschte Dinge auszuführen.
Wo liegt nun das Problem und betrifft es mich auch?
Als Datenschutzbeauftragter gebe ich hier eine ganz klare Aussage, es betrifft alle Webseitenbetreiber, die noch mit der PHP-Version 7 arbeiten.
Durch Sicherheitslöcher können nicht nur System übernommen werden, es kann auch Schadsoftware in das System integriert werden und hier liegt das ganz große Problem.
Bei einem solchen Vorfall sind Sie ganz allein dafür verantwortlich und sind auch dafür haftbar zu machen. Die Verantwortung liegt beim Seitenbetreiber, der in den meisten Fällen auch im Impressum genannt wird.
Dieser Fall muss nicht unbedingt eintreten, dennoch gibt es ein weiterer Aspekt, der zur Abmahnung führen kann. Das betrifft alle Websites, die mit personenbezogenen Daten arbeiten, dazu zählen nicht nur gespeicherte Daten, sondern auch die Benutzung eines Kontaktformulars.
Laut Datenschutzgrundverordnung sind Sie unter anderem verpflichtet, stets eine aktuelle Softwareversion zu nutzen. Auch PHP ist eine Software, diese wird vom Webhoster zur Verfügung gestellt, aber er trägt nicht die Verantwortung.
Wo ist das geregelt?
Das Ganze kann man im Art. 32 DSGVO – Sicherheit der Verarbeitung nachlesen. Im Absatz 1 wird Folgendes angegeben:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“
Hierzu kann auch der Erwägungsgrund 78 herangezogen werden,
Geeignete technische und organisatorische Maßnahmen
Punkt 1)
Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden.
Punkt 4)
In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.
Was muss ich nun unternehmen?
Prüfen Sie in Ihren Webhosting-Account, ob die Website bereits auf PHP-8 läuft. Sollte das nicht der Fall sein, stellen Sie die PHP-Version auf die aktuelle Version um und warten Sie ca. 10Minuten und prüfen, ob Ihre Website noch lauffähig ist.
Sollte Ihre Website nicht mehr lauffähig sein, prüfen Sie, ob die Website auf einen aktuellen Stand gebracht werden kann. Ist das nicht möglich, kommen Sie um eine Neuerstellung oder Relaunch der Website nicht vorbei.
Schieben Sie diese Angelegenheit nicht auf die lange Bank, sollte eine Abmahnwelle deshalb entstehen, müssen Sie Ihre Website offline stellen. Sie sind über Wochen online nicht erreichbar.
Gerne übernehme ich diese Aufgabe für Sie, schreiben Sie mich an.