Erstes Bußgeld nach der Datenschutz-Grundverordnung in Deutschland
Zum Sachverhalt
Der in Baden-Württemberg ansässige Chat-Anbieter „Knuddels“ hat Anfang September 2018 festgestellt, dass infolge eines Hackerangriffs im Juli 2018 personenbezogene Daten von über 300.000 Nutzern entwendet und online veröffentlicht worden waren. Ermöglicht wurde diese Datenpanne, da das Unternehmen die Nutzer-Passwörter unverschlüsselt im Klartext gespeichert hatte. Damit verstieß „Knuddels“ gegen die Pflicht gem. Art. 32 Abs. 1 lit. a DS-GVO zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten. Sowohl die Meldung der Datenpanne gegenüber der zuständigen Landesdatenschutzbehörde als auch die Information der betroffenen Nutzer erfolgte jeweils innerhalb der strengen gesetzlichen Frist (72 Stunden bzw. unverzüglich).
Das Vorgehen des LfDI
Angesichts des Bußgeldrahmens bei Verstößen gegen Art. 32 DS-GVO von bis zu EUR 10 Mio. oder 2% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahr fällt das verhängte Bußgeld mit EUR 20.000,00 auf den ersten Blick moderat aus. Die Landesdatenschutzbehörde betont in ihrer Pressemitteilung, dafür seien insbesondere die sehr gute Kooperation des Unternehmens mit dem LfDI, die vorbildliche Transparenz sowie die hohe Geschwindigkeit bei der Umsetzung von Maßnahmen zur Verbesserung der IT-Sicherheitsarchitektur nach Bekanntwerden der Datenpanne ausschlaggebend gewesen.
Anmerkung
Auch wenn das Bußgeld in seiner Höhe moderat ausfällt, ist insoweit hervorzuheben, dass das Bußgeld nicht wegen der Datenpanne als solcher verhängt wurde – wäre sie nämlich nicht fristgerecht gemeldet worden, hätte dies vielmehr zur Verwirklichung eines eigenständigen, zusätzlichen Bußgeldtatbestands geführt. Vielmehr ist Grund für das Bußgeld allein die unzureichende interne technische Absicherung der Passwörter gewesen. Gegenstand des Verfahrens war somit ein internes Versäumnis des Unternehmens, das durch einen rechtswidrigen Akt eines Dritten bekannt wurde. Auch ging es in der Sache um Daten, die nicht als sensibel einzustufen sind.
Somit ist es zwar grundsätzlich zu begrüßen, dass der LfDI bei der Ahndung unsicherer Datenverarbeitungsvorgänge nicht die abschreckende Wirkung von Bußgeldern, sondern deren Verhältnismäßigkeit und damit die Datensicherheit für die betroffenen Personen in den Fokus rückt. Abzuwarten bleibt, ob andere Landesdatenschutzbehörden diesem Beispiel folgen werden. Nichtsdestotrotz verdeutlicht das erste deutsche DS-GVO-Bußgeld, das gerade einmal ein knappes halbes Jahr nach Geltung des neuen Rechts ergangen ist, dass die Behörden es ernst meinen. Somit werden Unternehmen nicht darauf vertrauen können, dass das Thema Datenschutz wieder an Bedeutung verlieren könnte. Ganz im Gegenteil ist davon auszugehen, dass bei echten Versäumnissen, bei denen die Behörde zum Ergebnis kommt, dass sich das Unternehmen der Umsetzung der DS-GVO bislang nur unzureichend angenommen hat, deutlich höhere Bußgelder verhängt werden.
Rechtsanwälte
Dr. Morton Douglas und
Dr. Lukas Kalkbrenner,
Friedrich Graf von Westphalen & Partner mbB, Köln
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
9702
-
Einbau von Klimaanlage bei Eigentumswohnung: Anspruch auf Zustimmung?
859
-
Vollstreckung rückständiger Rundfunkgebühren häufig angreifbar
511
-
Eigenbedarfskündigung bei Senioren – Ausschluss wegen unzumutbarer Härte?
360
-
Wohnungseigentümerin kann Einbau einer Klimaanlage nicht verhindern
290
-
Klagerücknahme oder Erledigungserklärung?
280
-
Wann ist ein digitaler Türspion erlaubt?
2791
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
274
-
Wann ist ein Anspruch verwirkt? Worauf beruht die Verwirkung?
256
-
Minderung schlägt auf Betriebskostenabrechnung durch
233
-
China verschärft Korruptionsstrafrecht: Neue Risiken bei Handelsvertreter- und Agenturmodellen
17.06.2026
-
Beendigung einer GbR durch Vereinigung aller Gesellschaftsanteile in der Hand
17.06.2026
-
Der Teufel ist Schleichwerbung – oder: was Meryl Streep mit dem Medienrecht zu tun hat
16.06.2026
-
Das EU-Mercosur-Abkommen ab dem 1. Mai 2026: Zollvorteile und neue Anforderungen für Unternehmen
15.06.2026
-
Organhaftung: Überwachungspflicht des Aufsichtsrats bei Geschäftsstillstand
20.05.2026
-
Haftung der Gesellschafter für Verbindlichkeiten einer oHG und Übergang von Ansprüchen im Wege der Ausgliederung
13.05.2026
-
China: Neue Gegensanktionen
11.05.2026
-
BGH kippt Abzug „Alt für Neu“ bei der Mängelbeseitigung
07.05.2026
-
Top Secret? Umsetzung der CSDDD, Evaluierung des LkSG und das Ziel besserer Rechtssetzung
15.04.2026
-
D&O: Wer zahlt am Ende? Regress von Unternehmensgeldbußen gegenüber Geschäftsleitern
15.04.2026