{"id":41890,"date":"2018-11-23T05:46:14","date_gmt":"2018-11-23T04:46:14","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=41890"},"modified":"2018-12-10T18:42:57","modified_gmt":"2018-12-10T17:42:57","slug":"erstes-bussgeld-dsgvo","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/erstes-bussgeld-dsgvo\/","title":{"rendered":"Erstes Bu\u00dfgeld wegen DSGVO-Versto\u00df: 20.000 \u20ac gegen die Chatplattform knuddels.de"},"content":{"rendered":"
\"\"
\u00a9 Inga – fotolia.com<\/figcaption><\/figure>\n

Ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wird das erste Unternehmen wegen eines Versto\u00dfes zur Kasse gebeten.
\n<\/i><\/p>\n

Der Landesbeauftragter f\u00fcr Datenschutz und Informationsfreiheit (LfDI) Baden-W\u00fcrttemberg, verh\u00e4ngte gegen das Chatportal \u201aKnuddels\u2018 ein Bu\u00dfgeld in H\u00f6he von 20.000 Euro.<\/i><\/p>\n

Nutzer knuddelten unfreiwillig \u00f6ffentlich<\/h2>\n

Im Sommer dieses Jahres war das virtuelle “Flirtcaf\u00e9” mit dem kontraintuitiven Namen “Knuddels” Opfer eines Hackerangriffs geworden.<\/p>\n

Die Hacker hatten die Daten offenbar deshalb erbeuten k\u00f6nnen, weil das Unternehmen die Passw\u00f6rter seiner Kunden im Klartext auf seinem Unternehmensserver gespeichert, aber es unterlassen hatte, p\u00fcnktlich die neue Version des Betriebssystems aufzuspielen.<\/p>\n

Daraufhin landeten Berichten zufolge knapp 1,9 Millionen Nicknames und mehr als 800.000 E-Mail-Adressen samt Passw\u00f6rtern auf einer Filesharing-Website.<\/p>\n

Nicht zum Kuscheln aufgelegt: Die Datenschutzbeh\u00f6rde<\/h2>\n

Der Landesbeauftragte f\u00fcr den Datenschutz und die Informationsfreiheit Baden-W\u00fcrttemberg hat gegen den Betreiber des Internetportals knuddels.de daher ein Bu\u00dfgeld in H\u00f6he von 20.000 EURO wegen eines Versto\u00dfes gegen die DSGVO verh\u00e4ngt. Die Speicherung von Passw\u00f6rtern im Klartext verst\u00f6\u00dft gegen Art. 32 Abs. 1 lit a DSGVO<\/a>.<\/p>\n

Die Pressemitteilung<\/a> des LfDI lautet:<\/p>\n

“LfDI Baden-W\u00fcrttemberg verh\u00e4ngt sein erstes Bu\u00dfgeld in Deutschland nach der DS-GVO<\/strong>
\nKooperation mit Aufsicht macht es glimpflich<\/strong><\/p>\n

Wegen eines Versto\u00dfes gegen die nach Art. 32 DS-GVO<\/a> vorgeschriebene Datensicherheit hat die Bu\u00dfgeldstelle des LfDI Baden-W\u00fcrttemberg mit Bescheid vom 21.11.2018 gegen einen baden-w\u00fcrttembergischen Social-Media-Anbieter eine Geldbu\u00dfe von 20.000,- Euro verh\u00e4ngt und \u2013 in konstruktiver Zusammenarbeit mit dem Unternehmen \u2013 f\u00fcr umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.<\/p>\n

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passw\u00f6rter und E-Mail-Adressen, entwendet und Anfang September 2018 ver\u00f6ffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverz\u00fcglich und umfassend \u00fcber den Hackerangriff. Gegen\u00fcber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Vers\u00e4umnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passw\u00f6rter ihrer Nutzer im Klartext, mithin unverschl\u00fcsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpassw\u00f6rter nutzte das Unternehmen beim Einsatz eines sog. \u201ePasswortfilters\u201c zur Verhinderung der \u00dcbermittlung von Nutzerpassw\u00f6rtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu sch\u00fctzen.<\/p>\n

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Ma\u00dfnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der n\u00e4chsten Wochen in Abstimmung mit dem LfDI zus\u00e4tzliche Ma\u00dfnahmen zur weiteren Verbesserung der Datensicherheit durchf\u00fchren.<\/p>\n

Durch die Speicherung der Passw\u00f6rter im Klartext verstie\u00df das Unternehmen wissentlich gegen seine Pflicht zur Gew\u00e4hrleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO<\/a>.<\/p>\n

Innerhalb des Bu\u00dfgeldrahmens gem\u00e4\u00df Art. 83 Abs. 4 DS-GVO<\/a> sprach die sehr gute Kooperation mit dem LfDI in besonderem Ma\u00dfe zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten f\u00fcr den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbu\u00dfe wurde neben weiteren Umst\u00e4nden die finanzielle Gesamtbelastung f\u00fcr das Unternehmen ber\u00fccksichtigt. Bu\u00dfgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verh\u00e4ltnism\u00e4\u00dfig sein. Unter Einbeziehung der aufgewendeten und avisierten Ma\u00dfnahmen f\u00fcr IT-Sicherheit hat das Unternehmen einschlie\u00dflich der Geldbu\u00dfe infolge des Versto\u00dfes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.”<\/p><\/blockquote>\n

Fazit: Schmusekurs kann Bu\u00dfgeld verringern<\/h2>\n

Gem. Art. 83 DSGVO<\/a> h\u00e4tte der LfDI bis zu 20.000.000 \u20ac oder vier Prozent des Umsatzes des vorangegangenen Gesch\u00e4ftsjahres verh\u00e4ngen k\u00f6nnen. Die Plattform konnte \u00a0davon profitieren, dass es seinen Meldepflichten vorbildlich nachkam. Der Datenschutzrechtsversto\u00df<\/a> w\u00e4re sonst wohl erheblich teurer geworden.<\/p>\n

Daher ist allen Unternehmen, egal welcher Gr\u00f6\u00dfe und Handelsstufe bei einer Datenschutzpanne zu raten, nicht den Kopf in den Sand zu stecken oder in Panik zu geraten, sondern \u00a0durch Transparenz und Aufkl\u00e4rungsbem\u00fchungen der Ordnungsbeh\u00f6rde zu signalisieren, dass man nicht nur zur Schadenswiedergutmachung bereit und in der Lage ist, sondern auch, die Technik auf den neuesten Stand zu bringen.<\/p>\n

Wie der vorliegende Fall zeigt, ber\u00fccksichtigen die Datenschutzbeh\u00f6rden bei der Bemessung des Bu\u00dfgelds auch finanzielle Belastungen, die mit der Rechtsverletzung, der Beseitigung von deren Folgen und der Vermeidung zuk\u00fcnftiger Verst\u00f6\u00dfe einhergehen.<\/p>\n

\n

Lesen Sie hier alle wichtigen Beitr\u00e4ge zur DSGVO:<\/h3>\n