Seit dem Stichtag zur Geltung der Datenschutzgrundverordnung geistert das Schreckgespenst verschärfter DSGVO-Sanktionen durch Köpfe, Medien und Betriebe. Nun traf es das erste deutsche Unternehmen. Nach einem Hackerangriff musste die Plattform Knuddels.de einräumen, dass es bei der Verschlüsselung von Nutzerdaten haperte. Dank schneller Reaktion und Zusammenarbeit mit der Datenschutzbehörde hielt sich das Bußgeld mit 20.000 EUR in Grenzen.

Die Schonzeit ist vorbei: Die neuen Sanktionen nach der DSGVO greifen, werden aber bei einsichtigen Unternehmen mit Augenmaß verhängt.

Im Juli 2018 waren Hacker mit einem Angriff auf die Server des sozialen Netzwerks Knuddels.de erfolgreich gewesen und hatten personenbezogene Daten von rund 330.000 Nutzern dieser Plattform entwendet. Besonders brisant war, dass dabei auch die unverschlüsselt gespeicherten Passwörter sowie E-Mail-Adressen erbeutet wurden, wodurch zusätzliche Risiken für die Betroffenen entstanden.

Schnelle Reaktion von Knuddels.de nach dem Hackerangriff

Nachdem die Daten Anfang September teilweise veröffentlicht wurden und das Unternehmen von dem erfolgreichen Angriff erfuhr,

  • informierten die Verantwortlichen zum einen unverzüglich die Nutzer über den Hackerangriff
  • und meldete die Datenpanne zum anderen auch an den zuständigen Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI). 

Versäumnisse gegenüber der Behörde offengelegt

Als das Unternehmen anschließend seine Datenverarbeitungsstrukturen und auch seine Versäumnisse gegenüber der Behörde offenlegte, wurde dem LfDI bekannt,

  • dass man dort bei der Speicherung der Passwörter weder ein Verschlüsselungs- noch ein Hash-Verfahren eingesetzt hatte,
  • sodass die Daten im Klartext vorlagen.
  • Damit lag ein Verstoß gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DSGVO vor, der entsprechende Sanktionen nach sich zieht.

Umfangreiche Zusammenarbeit wirkte Bußgeld senkend

Zugunsten des Unternehmens sprach

  • die von Anfang an sehr hohe Kooperationsbereitschaft
  • und auch rasche Umsetzung der vom LfDI vorgeschlagenen Empfehlungen zur Erhöhung der Datensicherheit. 

Bei der Bemessung des Bußgeldes nach Art. 83 Abs. 4 DSGVO konnten diese Faktoren daher strafmildernd berücksichtigt werden. Auch die Gesamtbelastung für das Unternehmen floss nach Angaben des LfDI  dabei ein.

Gründe für die Bußgeldhöhe

Mit einer Höhe von 20.000 EUR wurde schließlich eine Summe festgesetzt, die nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sei.

Die Obergrenzen für Bußgelder sind deutlich höher und können etwa bei Unternehmen bis zu 20 Millionen Euro oder auch 4 Prozent des weltweiten Jahresumsatzes ausmachen.

Zusätzliche Sicherheitsmaßnahmen ergriffen

Das Bußgeld stellt jedoch nur einen Teil der finanziellen Belastungen für die Online-Plattform dar. Berücksichtigt man die bereits ergriffenen sowie die weiteren angekündigten Maßnahmen zur Erhöhung der IT-Sicherheit, wird sich der Gesamtaufwand für Knuddels.de in einem sechsstelligen Euro-Bereich bewegen.

Echte Belastungsprobe für Unternehmen

Auch der Geschäftsführer der Knuddels GmbH & Co. KG, Holger Kujath, zeigte sich zufrieden. Der Hackerangriff sei eine echte Belastungsprobe für das Unternehmen gewesen, man habe sich aber sofort dazu entschieden, durch eine transparente Kommunikation und Verbesserung der IT-Sicherheit das Vertrauen der Nutzer zurückgewinnen zu wollen. Die Plattform sei nun sicherer denn je, äußerte er gegenüber dem Nachrichtendienst dpa.

Datenschutz-Kontrollen und -Themen in Bayern angekündigt

Auf Datenschutz-Kontrollen und Bußgelder bei Verstößen müssen sich nun auch wieder bayerische Unternehmen und Freiberufler einstellen, denn kürzlich hat das bayerische Landesamt für Datenschutzaufsicht angekündigt, seine Prüfaktivitäten wieder zu intensivieren. Bei den neuen Prüfungen sollen vor es vor allem um folgende Bereiche gehen:

  • Sicherer Betrieb von Online-Shops
  • Schutz vor Verschlüsselungstrojanern in Arztpraxen
  • Erfüllung von Rechenschaftspflichten bei Großbetrieben und Mittelständlern
  • Umsetzung der Informationspflichten in Bewerbungsverfahren

Mit den Prüfungen will das BayLDA nach einer Phase der intensiven Beratung zur DSGVO und weiterhin anhaltender Verunsicherung in vielen bayerischen Unternehmen aufzeigen, was im Hinblick auf die DSGVO „tatsächlich Prüfmaßstab ist und von den Verantwortlichen erwartet wird“.


Weitere News zum Thema:

IT-Sicherheitspflichten für Freiberufler seit Geltung der DSGVO

DSGVO auf einen Blick

DSGVO Verstöße können von Mitbewerbern abgemahnt werden

Hintergrund:

Die verhängte Geldbußeist die dritte bekannt gewordene DSGVO-Sanktion, die von einer europäischen Datenschutzbehörde erlassen wurde:

Bereits im Juli 2018 verhängte die portugiesische Aufsichtsbehörde eine Geldbuße von 400.000 EUR gegen ein Krankenhaus wegen eines Zugriffs auf Patientendaten.

Im Oktober 2018 verhängte die österreichische Datenschutzbehörde eine Geldbuße von 4.800 EUR wegen einer unzulässigen Videoüberwachung in einem öffentlichen Raum.

DSGVO-Sanktionen

Gemäß Art. 83 Abs. 4 DSGVO sind

  • Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
  • in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.

Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen.

Bemessung der DSGVO-Sanktionen bei Verstößen

Art. 83 DSGVO regelt die möglichen Bußgelder bei Verstößen, für deren Bemessung verschiedene Faktoren,

  • wie die Art und Schwere eines Verstoßes,
  • die Empfindlichkeit der betroffenen Daten,
  • die vorsätzliche oder fahrlässige Begehung
  • sowie die Kooperation mit der Aufsichtsbehörde

eine entscheidende Rolle spielen können.