Erstmals in Deutschland wurde eine Geldbuße nach dem verschärften Sanktionsrecht der Datenschutzgrundverordnung verhängt. Es traf den Social-Media-Dienst Knuddels.de, dem bei einem Hackerangriff unverschlüsselt gespeicherte Passwörter von zahlreichen Nutzern gestohlen wurden. Bei der Bußgeldhöhe berücksichtigte die Datenschutzbehörde die Bereitschaft von Knuddels.de zur Zusammenarbeit mit der Behörde.
Die Schonzeit ist vorbei: Die neuen Sanktionen nach der DSGVO greifen, werden aber bei einsichtigen Unternehmen mit Augenmaß verhängt.
Im Juli 2018 waren Hacker mit einem Angriff auf die Server des sozialen Netzwerks Knuddels.de erfolgreich gewesen und hatten personenbezogene Daten von rund 330.000 Nutzern dieser Plattform entwendet. Besonders brisant war, dass dabei auch die unverschlüsselt gespeicherten Passwörter sowie E-Mail-Adressen erbeutet wurden, wodurch zusätzliche Risiken für die Betroffenen entstanden.
Schnelle Reaktion von Knuddels.de nach dem Hackerangriff
Nachdem die Daten Anfang September teilweise veröffentlicht wurden und das Unternehmen von dem erfolgreichen Angriff erfuhr,
- informierten die Verantwortlichen zum einen unverzüglich die Nutzer über den Hackerangriff
- und meldete die Datenpanne zum anderen auch an den zuständigen Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI).
Versäumnisse gegenüber der Behörde offengelegt
Als das Unternehmen anschließend seine Datenverarbeitungsstrukturen und auch seine Versäumnisse gegenüber der Behörde offenlegte, wurde dem LfDI bekannt,
- dass man dort bei der Speicherung der Passwörter weder ein Verschlüsselungs- noch ein Hash-Verfahren eingesetzt hatte,
- sodass die Daten im Klartext vorlagen.
- Damit lag ein Verstoß gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DSGVO vor, der entsprechende Sanktionen nach sich zieht.
Umfangreiche Zusammenarbeit wirkte Bußgeld senkend
Zugunsten des Unternehmens sprach
- die von Anfang an sehr hohe Kooperationsbereitschaft
- und auch rasche Umsetzung der vom LfDI vorgeschlagenen Empfehlungen zur Erhöhung der Datensicherheit.
Bei der Bemessung des Bußgeldes nach Art. 83 Abs. 4 DSGVO konnten diese Faktoren daher strafmildernd berücksichtigt werden. Auch die Gesamtbelastung für das Unternehmen floss nach Angaben des LfDI dabei ein.
Gründe für die Bußgeldhöhe
Mit einer Höhe von 20.000 EUR wurde schließlich eine Summe festgesetzt, die nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sei.
Die Obergrenzen für Bußgelder sind deutlich höher und können etwa bei Unternehmen bis zu 20 Millionen Euro oder auch 4 Prozent des weltweiten Jahresumsatzes ausmachen.
Zusätzliche Sicherheitsmaßnahmen ergriffen
Das Bußgeld stellt jedoch nur einen Teil der finanziellen Belastungen für die Online-Plattform dar. Berücksichtigt man die bereits ergriffenen sowie die weiteren angekündigten Maßnahmen zur Erhöhung der IT-Sicherheit, wird sich der Gesamtaufwand für Knuddels.de in einem sechsstelligen Euro-Bereich bewegen.
Echte Belastungsprobe für Unternehmen
Auch der Geschäftsführer der Knuddels GmbH & Co. KG, Holger Kujath, zeigte sich zufrieden. Der Hackerangriff sei eine echte Belastungsprobe für das Unternehmen gewesen, man habe sich aber sofort dazu entschieden, durch eine transparente Kommunikation und Verbesserung der IT-Sicherheit das Vertrauen der Nutzer zurückgewinnen zu wollen. Die Plattform sei nun sicherer denn je, äußerte er gegenüber dem Nachrichtendienst dpa.
Datenschutz-Kontrollen und -Themen in Bayern angekündigt
Auf Datenschutz-Kontrollen und Bußgelder bei Verstößen müssen sich nun auch wieder bayerische Unternehmen und Freiberufler einstellen, denn kürzlich hat das bayerische Landesamt für Datenschutzaufsicht angekündigt, seine Prüfaktivitäten wieder zu intensivieren. Bei den neuen Prüfungen sollen vor es vor allem um folgende Bereiche gehen:
- Sicherer Betrieb von Online-Shops
- Schutz vor Verschlüsselungstrojanern in Arztpraxen
- Erfüllung von Rechenschaftspflichten bei Großbetrieben und Mittelständlern
- Umsetzung der Informationspflichten in Bewerbungsverfahren
Mit den Prüfungen will das BayLDA nach einer Phase der intensiven Beratung zur DSGVO und weiterhin anhaltender Verunsicherung in vielen bayerischen Unternehmen aufzeigen, was im Hinblick auf die DSGVO „tatsächlich Prüfmaßstab ist und von den Verantwortlichen erwartet wird“.
Weitere News zum Thema:
IT-Sicherheitspflichten für Freiberufler seit Geltung der DSGVO
DSGVO Verstöße können von Mitbewerbern abgemahnt werden
Hintergrund:
Die verhängte Geldbußeist die dritte bekannt gewordene DSGVO-Sanktion, die von einer europäischen Datenschutzbehörde erlassen wurde:
Bereits im Juli 2018 verhängte die portugiesische Aufsichtsbehörde eine Geldbuße von 400.000 EUR gegen ein Krankenhaus wegen eines Zugriffs auf Patientendaten.
Im Oktober 2018 verhängte die österreichische Datenschutzbehörde eine Geldbuße von 4.800 EUR wegen einer unzulässigen Videoüberwachung in einem öffentlichen Raum.
DSGVO-Sanktionen
Gemäß Art. 83 Abs. 4 DSGVO sind
- Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
- in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.
Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen.
Bemessung der DSGVO-Sanktionen bei Verstößen
Art. 83 DSGVO regelt die möglichen Bußgelder bei Verstößen, für deren Bemessung verschiedene Faktoren,
- wie die Art und Schwere eines Verstoßes,
- die Empfindlichkeit der betroffenen Daten,
- die vorsätzliche oder fahrlässige Begehung
- sowie die Kooperation mit der Aufsichtsbehörde
eine entscheidende Rolle spielen können.