Erstes Bußgeld wegen DSGVO-Verstoß verhängt

Aufsichtsbehörden sanktionieren vermehrt Datenschutzverstöße

Im Mai diesen Jahres wurde die neue Datenschutzgrundverordnung (DSGVO) in der EU wirksam. Diese hat zum Ziel, europaweit ein einheitliches Datenschutzniveau zu schaffen. Kürzlich wurde das erste Bußgeld im Zusammenhang mit einem Verstoß gegen die DSGVO verhängt. Das soziale Netzwerk „Knuddels“ muss 20.000 Euro zahlen, da es die personenbezogenen Daten seiner Kunden nicht ausreichend gesichert hat. Die Plattform war Opfer eines Hackerangriffs geworden.

Der vorliegende Fall – wie kam es zu dem DSGVO-Verstoß?

Das soziale Netzwerk speicherte die Daten seiner Nutzer – auch die jeweiligen Passwörter – unverschlüsselt und unverfremdet (ungehasht) auf dem internen Firmenserver. Außerdem verpasste es das Unternehmen, die aktuellste Version des Betriebssystems zu installieren. Die Website wurde gehackt. In Folge dessen wurden die Daten von ca. 330.000 Nutzern entwendet. Später veröffentlichten die Angreifer mehr als 800.000 E-Mail-Adressen und circa 1.872.000 Pseudonyme -inklusive der passenden Passwörter - auf einer für jedermann einsehbaren Website.

Vorbildliche Reaktion des sozialen Netzwerks

Die Betreiber des Chatportals informierten alle Betroffenen umgehend über die Datenpanne. Im Sinne der Datenschutzgrundverordnung hat diese Information unverzüglich und umfassend zu erfolgen. Dieser Anforderung kam das Unternehmen nach. Dabei wurden sowohl die Datenverarbeitungsstrukturen als auch die Versäumnisse des Unternehmens offengelegt. Das soziale Netzwerk wendete sich außerdem umgehend an die Aufsichtsbehörde und informierte diese über den Vorfall.

Das durch die Aufsichtsbehörde verhängte Bußgeld – eine milde Strafe

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat das Bußgeld als zuständige Aufsichtsbehörde verhängt. Begründet wurde die Sanktion damit, dass die Speicherung von Passwörtern im Klartext zweifelsfrei gegen Art. 32 Abs. 1 DSGVO verstößt. Die Bußgeldvorschriften der DSGVO (Art. 83) sehen vor, dass der LfDI ein Bußgeld in einer Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes hätte verhängen können.

Die Höhe des Bußgeldes ist also als äußerst gering einzustufen. Diese Tatsache ist mit der Kooperation mit der Behörde seitens des sozialen Netzwerkes zu begründen. In seiner Pressemitteilung spricht der LfDI von einer konstruktiven Zusammenarbeit. Die Kooperation und die umfangreichen Verbesserungen bezüglich der Sicherheit der personenbezogenen Daten seien der Grund für die milde Strafe. Das Unternehmen habe nach Meinung der Datenschutzbehörde in vorbildlicher Weise auf den Vorfall reagiert.

Fazit

Im vorliegenden Fall hat das betroffene Unternehmen davon profitiert, dass es seinen Meldepflichten unverzüglich und in umfassender Weise nachkam. Der Verstoß gegen die DSGVO hätte ansonsten deutlich größere Konsequenzen nach sich ziehen können.

Unternehmern sind also zwei Ratschläge zu geben. Es gilt sich umfassend in Hinblick auf die Vorschriften der DSGVO abzusichern, um Datenschutzverstöße im Voraus zu vermeiden. Kommt es aber dennoch zu einem solchen Verstoß, sollte das „Heft des Handels“ schnellstmöglich in die Hand genommen werden. Je schneller und gewissenhafter die Unternehmen auf einen Datenschutz-Verstoß reagieren, desto besser können die Konsequenzen abgefedert werden. Eine umfassende rechtliche Beratung im Datenschutzrecht sollte Bestandteil einer eroflgreichen Strategie zur Minimierung der Haftungsrisiken sein.