Mehrfach ausgezeichnet.

Focus Markenrecht
en

Erstes Bußgeld wegen DSGVO-Verstoß: 20.000 € gegen die Chatplattform knuddels.de

Ihr Ansprechpartner
© Inga – fotolia.com

Ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wird das erste Unternehmen wegen eines Verstoßes zur Kasse gebeten.

Der Landesbeauftragter für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg, verhängte gegen das Chatportal ‚Knuddels‘ ein Bußgeld in Höhe von 20.000 Euro.

Nutzer knuddelten unfreiwillig öffentlich

Im Sommer dieses Jahres war das virtuelle „Flirtcafé“ mit dem kontraintuitiven Namen „Knuddels“ Opfer eines Hackerangriffs geworden.

Die Hacker hatten die Daten offenbar deshalb erbeuten können, weil das Unternehmen die Passwörter seiner Kunden im Klartext auf seinem Unternehmensserver gespeichert, aber es unterlassen hatte, pünktlich die neue Version des Betriebssystems aufzuspielen.

Daraufhin landeten Berichten zufolge knapp 1,9 Millionen Nicknames und mehr als 800.000 E-Mail-Adressen samt Passwörtern auf einer Filesharing-Website.

Nicht zum Kuscheln aufgelegt: Die Datenschutzbehörde

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de daher ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO.

Die Pressemitteilung des LfDI lautet:

„LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.“

Fazit: Schmusekurs kann Bußgeld verringern

Gem. Art. 83 DSGVO hätte der LfDI bis zu 20.000.000 € oder vier Prozent des Umsatzes des vorangegangenen Geschäftsjahres verhängen können. Die Plattform konnte  davon profitieren, dass es seinen Meldepflichten vorbildlich nachkam. Der Datenschutzrechtsverstoß wäre sonst wohl erheblich teurer geworden.

Daher ist allen Unternehmen, egal welcher Größe und Handelsstufe bei einer Datenschutzpanne zu raten, nicht den Kopf in den Sand zu stecken oder in Panik zu geraten, sondern  durch Transparenz und Aufklärungsbemühungen der Ordnungsbehörde zu signalisieren, dass man nicht nur zur Schadenswiedergutmachung bereit und in der Lage ist, sondern auch, die Technik auf den neuesten Stand zu bringen.

Wie der vorliegende Fall zeigt, berücksichtigen die Datenschutzbehörden bei der Bemessung des Bußgelds auch finanzielle Belastungen, die mit der Rechtsverletzung, der Beseitigung von deren Folgen und der Vermeidung zukünftiger Verstöße einhergehen.

Lesen Sie hier alle wichtigen Beiträge zur DSGVO:

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht

2., vollständig überarbeitete und aktualisierte Auflage

Chronologisch aufgebaut, differenzierte Gliederung, zahlreiche Querverweise und, ganz neu: Umfangreiche Praxishinweise zu jeder Prozesssituation.

Mehr erfahren

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht