Datenpanne nach DSGVO: die wichtigsten Lehren aus dem ersten Bußgeldbescheid

Zusammenfassung

 
Überblick

Im Juli 2018 wurde erstmalig ein Unternehmen wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) mit einer Geldbuße belegt. Die Knuddels GmbH & Co. KG, die eine soziale Plattform betreibt, wurde von der Bußgeldstelle des Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg wegen Verletzung der Sicherheitsvorschriften von Art. 32 DSGVO mit 20.000 EUR Buße belegt. In Zusammenarbeit mit der Bußgeldstelle führte das Unternehmen Verbesserungen für die Sicherheit ein.

 
Gesetze, Vorschriften und Rechtsprechung

1 Die Datenpanne: Was ist passiert?

Bei der Knuddels GmbH & Co. KG wurden durch Hackerangriffe im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht. Nachdem die Verantwortlichen im Unternehmen das bemerkt hatten, informierten sie den LfDI (gem. Art. 33 DSGVO). Gegenüber dem LfDI legte das Unternehmen Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen – in vorbildlicher Weise, wie es im Pressetext des LfDI heißt. Auch die Nutzer wurden unverzüglich und umfassend über den Hackerangriff benachrichtigt (nach Art. 34 DSGVO).

Die Bußgeldstelle des LfDI Baden-Württemberg verurteilte das Unternehmen mit Bescheid vom 21.11.2018 zu einer Geldbuße von 20.000 EUR. Dies ist ein verhältnismäßig geringer Betrag. Bei der Festsetzung der Buße gemäß Art. 83 DSGVO wurde die sehr gute Kooperation mit dem LfDI zu Gunsten des Unternehmens berücksichtigt, sowie die finanzielle Gesamtbelastung für das Unternehmen. Bußgelder sollen nach der Art. 83 Abs. 1 DSGVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit musste die Firma einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich ausgeben. Der LfDI ist laut Pressetext in erster Linie nicht an möglichst hohen Bußgeldern, sondern an der Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer interessiert.

2 Die Fehler des Unternehmens

Bei Knuddels wurden die Passwörter der Nutzer im Klartext, also unverschlüsselt und unverfremdet (ungehasht), gespeichert. Diese Klartextpasswörter wurden im Unternehmen beim Einsatz eines sog. "Passwortfilters" zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte genutzt. Dabei verfolgte man zwar das Ziel, die Nutzer besser zu schützen. Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen aber wissentlich gegen die Vorschrift von Art. 32 Abs. 1 lit a DSGVO, die ausdrücklich die Pseudonymisierung und Verschlüsselung personenbezogener Daten verlangt.

Knuddels setzte innerhalb weniger Wochen in Zusammenarbeit mit dem LfDI weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung der Nutzerdaten auf den aktuellen Stand der Technik.

3 Wie schützt man sich gegen solche Pannen?

Nach Art. 4 Ziff. 12 DSGVO versteht man unter einer Datenpanne, bzw. "Verletzung des Schutzes personenbezogener Daten" eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Art. 32 Abs. 1 DSGVO bestimmt, dass das Unternehmen technische und organisatorische Sicherheitsmaßnahmen treffen muss. Dabei ist folgendes zu berücksichtigen:

  • der Stand der Technik,
  • die Implementierungskosten,
  • die Art, der Umfang, die Umstände,
  • die Zwecke der Verarbeitung sowie
  • die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung, bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.[1]

Besonders vorgeschrieben sind folgende Maßnahmen:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung, und zwar auf Dauer
  • Möglichkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Der Verantwortliche sowie Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, s...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge