Am 21.11.2018 wurde von einer Aufsichtsbehörde das erste Bußgeld gegen einen deutschen Social-Media-Anbieter verhängt. Das LfDI Baden-Württemberg hat dem Chat-Plattformanbieter ein Bußgeld von 20.000€ auferlegt.

Welcher Verstoß wurde geahndet?

Hintergrund für das Bußgeld ist ein Hackerangriff im Sommer 2018 auf die Online-Chat-Plattform Knuddels, bei dem personenbezogene Daten von ca. 330.000 Nutzern erbeutet wurden. Darunter waren Daten wie E-Mail-Adressen und Passwörter, aber unter anderem auch Angaben zu Wohnort und Adresse. Später waren die gehackten Nutzerdaten im Netz auch noch frei zugänglich gewesen.

Möglich wurde diese Attacke dadurch, dass die Passwörter der Nutzer im Klartext gespeichert wurden, also keine Verschlüsselung der Passwörter stattfand.

Darin ist ein klarer Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO zu sehen. Die Norm besagt, dass technische und organisatorische Maßnahmen getroffen werden müssen, die eine Pseudonymisierung und Verschlüsselung von personenbezogenen Daten ermöglichen. Eine Verschlüsselung der Passwörter von Nutzern ist klar aktueller Stand der Technik, der einem Unternehmen wie Knuddels unter Berücksichtigung aller Umstände auch zuzumuten ist. Somit wurde der Verstoß durch die Missachtung der Umsetzung von technischen und organisatorischen Maßnahmen begründet.

Wie kam das Bußgeld zustande?

Das verhältnismäßig geringe Bußgeld (im Vergleich zu den im Gesetz normierten Bußgeldrahmen von bis zu 20 Mio. Euro bzw. bis zu 4% des weltweiten Jahresumsatzes) von 20.000€ für einen Verstoß, der die Rechte für eine Anzahl von Betroffenen in einer solchen Größenordnung verletzt hat, ist durch die Mitarbeit des Unternehmens mit der Aufsichtsbehörde zu erklären.

Das LfDI Baden-Württemberg hat darauf hingewiesen, dass das Unternehmen in vorbildlicher Weise bei der Aufklärung kooperiert sowie unverzüglich Maßnahmen zur Eindämmung des Risikos getroffen und die Nutzer informiert hat. Außerdem wurde zügig eine Verbesserung der IT-Infrastruktur umgesetzt.

Diese Kooperation hat die Aufsichtsbehörde bei der Bemessung des Bußgeldes mit einfließen lassen. Einerseits lässt diese Herangehensweise darauf hoffen, dass die Aufsichtsbehörden bei der Bemessung von Bußgeldern mit Augenmaß vorgehen werden. Andererseits lässt sich hieran auch erkennen, dass Behörden trotz umfangreicher Kooperation von Unternehmen bei Datenschutzverstößen nicht von Bußgeldern absehen werden.

An diesem ersten Bußgeldfall nach Einführung der DSGVO bleibt festzuhalten, dass eine rechtzeitige Meldung von Datenschutzverstößen, die Kooperation mit den Aufsichtsbehörden und das schnelle Ergreifen von Gegen- und Abhilfemaßnahmen sich lohnen können. Deshalb bleibt letztlich der Appell, mögliche Datenschutzvorfälle und Verstöße sofort dem Datenschutzbeauftragten mitzuteilen, um über weitere Maßnahmen und eventuell notwendige Meldepflichten zu entscheiden.