Ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung wurde am 21.11.2018 das erste Bußgeld nach der DS-GVO in Deutschland angeordnet. Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) von Baden-Württemberg hat gegen einen Social-Media-Anbieter, knuddels.de, eine Geldbuße in Höhe von 20.000 Euro verhängt, aufgrund eines Verstoßes gegen die in Art. 32 DS-GVO festgeschriebene Pflicht zur Gewährleistung von Datensicherheit.
Das Unternehmen hatte Anfang September dem LfDI eine Datenpanne gemeldet, wie es nach Art. 33 DS-GVO zu erfolgen hat, nachdem ihnen ein Hackerangriff bekannt geworden ist. Hierbei wurden personenbezogene Daten, darunter E-Mail-Adressen, Pseudonyme und Passwörter, von ca. 330.000 Nutzern von den Hackern gestohlen und daraufhin veröffentlicht. Durch die vom Unternehmen mitgeteilten Informationen, etwa die Datenverarbeitungsstrukturen, hat der LfDI erkannt, dass das Unternehmen die Passwörter ihrer Nutzer unverschlüsselt und unverfremdet (ungehasht) gespeichert hatte. Die Speicherung der Passwörter der Nutzer in Klartext wurde damit begründet, dass das Unternehmen seine Nutzer eigentlich schützen wollte: so wollten sie durch den Einsatz eines Passwort-Filters verhindern, dass die Nutzer ihre Passwörter – auch rückwärts – an unberechtigte Dritte weitergeben, wie das vor Einsatz des Passwort-Filters oft geschehen sei. Dies war aber ein wissentlicher Verstoß gegen Art. 32 Abs. 1 lit. a DS-GVO. Dieser verlangt eine Pseudonymisierung und Verschlüsselung personenbezogener Daten zur Gewährleistung der Sicherheit der Verarbeitung.
Somit wurde gemäß Art. 83 Abs. 4 lit. a iVm Art. 32 Abs. 1 lit. a DS-GVO eine Geldbuße in Höhe von 20.000 Euro verhängt. Grund für die eher niedrige Geldbuße war nach Angaben des LfDI die Kooperation, Transparenz und Bereitschaft zur Aufklärung und Lösung des Problems aufseiten des Unternehmens. So wurde der Datendiebstahl, gemäß den Anforderungen des Art. 33 Abs. 1 S. 1 DS-GVO, binnen 72 Stunden nach Kenntnisnahme durch das Unternehmen gemeldet, unter Beifügung umfassender Informationen bezüglich der Verarbeitungsprozesse und der Unternehmensstrukturen. Weiterhin wurden die Nutzer unverzüglich benachrichtigt und gründlich über das weitere Vorgehen beraten.
Im Rahmen der Untersuchung des LfDI wurde erkannt, dass ein veralteter Backup-Server kausal war für die Datenpanne. Somit muss das Unternehmen, nach Absprachen mit dem LfDI, Maßnahmen ergreifen, um diese Schwachstellen in ihren Sicherheitssystemen zu schließen. Diese Investitionen in die IT-Sicherheit des Unternehmens werden nach Angaben des LfDI den sechsstelligen Euro-Bereich erreichen und auch dies ist in die Entscheidung miteingeflossen.
Somit ist die Geldbuße – auch trotz der Tatsache, dass man den Fall grundsätzlich strenger hätte bewerten können, da die meisten Nutzer dieser Plattform Kinder und Jugendliche sind – unter Berücksichtigung aller Faktoren, als angemessen einzuschätzen. So sollten Geldbußen nicht nur eine abschreckende Wirkung entfalten, sondern auch verhältnismäßig sein. Auch dies wurde in der Pressemitteilung des LfDI betont: es gehe nämlich nicht darum, „in einen Wettbewerb um möglichst hohe Bußgelder einzutreten“, sondern darum eine Verbesserung von Datenschutz und Datensicherheit zu bewirken.
Diese Geldbuße war auch eine der ersten in Europa: Die erste Geldbuße, die 400.000 Euro betrug wurde gegen ein portugiesisches Krankenhaus verhängt. Hier hat die portugiesische Datenschutzbehörde festgestellt, dass zu viele Unbefugte auf Patientendaten zugreifen konnten, die eigentlich nur für Ärzte einsehbar sein sollten. Weiterhin wurde in Österreich eine Geldbuße von 4.800 Euro gegen einen Betreiber eines Wettlokals verhängt, aufgrund einer nicht ausreichenden Kennzeichnung einer Videoüberwachung.
Es bleibt also abzuwarten, wie weitere Datenschutzbehörden, nicht nur in Deutschland, sondern generell in Europa, handeln werden, allerdings kann schon festgehalten werden, dass die großen Befürchtungen rund um die drohenden Konsequenzen der Datenschutz-Grundverordnung, zumindest hinsichtlich der Geldbußen, zum größten Teil unbegründet waren. Dieser Fall zeigt auch, wie nützlich Kooperation vonseiten der Verantwortlichen mit den Datenschutzbehörden sein kann, im Falle einer Datenpanne.
Weiterführende Quellen:
- http://hoganlovells-blog.de/2018/11/23/lfdi-baden-wuerttemberg-verhaengt-erstes-bussgeld-nach-der-ds-gvo/
- https://diercks-digital-recht.de/2018/11/erstes-dsgvo-bussgeld-20000-eur-eine-einordnung/
- https://easygdpr.eu/de/2018/11/erste-dsgvo-strafe-in-deutschland-verhaengt/
- https://www.wbs-law.de/datenschutzrecht/erstes-dsgvo-bussgeld-in-deutschland-verhaengt-knuddels-de-muss-20-000-euro-zahlen-78819/