Die Datenschutzgrundverordnung der EU (DSGVO) werde eine Abmahn- und Bußgeldwelle nach sich ziehen, so die Befürchtung vieler Webseiten-Betreiber. Auf den ersten Blick blieb diese Befürchtung aus. Aber was nicht ist, kann noch werden? Jetzt gibt es zumindest das erste offizielle Bußgeld basierend auf der DSGVO, welches vom Landesdatenschutzbeauftragen in Baden-Württemberg verhängt wurde.

20.000 Euro hören sich auf den ersten Blick nach einer großen Summe an, aber es geht hier nicht um eine Kleinigkeit. Man hätte auch drastisch höhere Summen verhängen können (bis zu 20 Millionen Euro). Betroffen ist die Flirt-Plattform Knuddels, mit 2 Millionen Usern gar nicht mal so klein! Der Anbieter hatte doch tatsächlich jahrelang Nutzer-Passwörter im Klartext, mithin unverschlüsselt und unverfremdet, gespeichert. In der heutigen Zeit ein No Go. Zitat Behörde:

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Der Anbieter kommt so glimpflich davon, weil die Behörde betont, dass er sehr kooperativ gewesen sei und die Probleme umfassend beseitigt habe. Geht es im grünen Ländle also wie bei Jugendstraftätern um Erziehung und Lernen, statt um Strafe? (ein kleiner Scherz muss sein) Vor allem wenn man sich die folgenden Infos der Behörde durchliest, merkt man: Es ging hier wirklich nicht um eine Kleinigkeit. Es gab einen Hack, der umfassende Kundendaten-Offenlegungen zur Folge hatte!

Der Anbieter kann wohl froh sein, dass sein Unternehmenssitz im so nachsichtigen Baden-Württemberg liegt, wo man dankbar ist, dass der Anbieter so lern- und kooperationsbereit war. Wäre es im benachbarten Bayern ebenso glimpflich ausgegangen? Man kann aber argumentativ auch der Schlussfolgerung der Behörde folgen (kein Scherz). Diese finden Sie ganz am Ende des Textes. Hier weitere Details vom Landesdatenschutzbeauftragen:

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“