La DPA de Basse-Saxe a infligé une amende de 65 000 euros à une entreprise. Le motif de la procédure était un rapport de l'entreprise à l'autorité concernant une violation de données conformément à l'art. 33 RGPD. En conséquence, la DPA a mené un audit de la présence Web de l'entreprise. Au cours du processus, la DPA a découvert qu'une application de boutique en ligne obsolète était utilisée sur le site, qui n'était plus fournie avec les mises à jour de sécurité. Le développeur avait explicitement mis en garde contre une utilisation ultérieure de cette version, car elle contenait d'importantes failles de sécurité. Les enquêtes de la DPA ont en outre révélé que les mots de passe stockés dans la base de données n'étaient pas suffisamment sécurisés. La DPA a conclu que les mesures techniques prises par la partie responsable n'étaient pas adéquates pour les exigences de protection du RGPD, entraînant une violation de l'art. 32 RGPD.