skip to Main Content
Mainz +49 6131 144 560 Berlin +49 30 285 058 56 kanzlei@res-media.net

Erstes Bußgeld nach DSGVO wegen Verstoßes gegen die Datensicherheit

Mit aktueller Pressemitteilung vom 22.11.2018 hat der Landesbeauftragte für Datenschutz- und Informationsfreiheit (LfDI) Baden- Württemberg die Verhängung eines Bußgeldes in Höhe von 20.000 Euro bekannt gegeben. Das Bußgeld wurde gegen einen baden-württembergischen Social-Media-Anbieter verhängt, der die Plattform Knuddels.de betreibt.

Was war geschehen?

Bereits im September 2018 war durch den Plattformbetreiber eine Datenpanne dem LfDUI gemeldet worden, bei der durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang Septemberveröffentlicht worden waren. Hierbei seien die betroffenen Nutzer auch unverzüglich informiert worden.

Gegenüber der Aufsichtsbehörde legte das Unternehmen, so das LfDI: „in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen“.

Dabei wurde jedoch festgestellt, dass der Plattformbetreiber die Passwörter seiner Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Dies sei zum Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte erfolgt, um die eigenen Nutzer besser zu schützen.

Verstoß gegen Datensicherheit

Durch die Speicherung der Passwörter im Klartext lag jedoch ein wissentlicher Verstoß des Unternehmens gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DSGVO vor, weshalb die Behörde sich veranlasst sah, ein Bußgeld ein verhängen.

Die Höhe des Bußgelds, die sicher angesichts des Höhen Bußgeldrahmens der DSGVO eher als gering angesehen werden kann, wurde, so die Aufsichtsbehörde, aufgrund der Kooperation des Unternehmens nicht höher angesetzt. In der Pressemitteilung heißt es:

„Kooperation mit Aufsicht macht es glimpflich“

Zudem sei bei der Bußgeldbemessung „neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen zu berücksichtigen gewesen.

Ob es sich bei dem Bußgeld, wie die Aufsichtsbehörde hier suggeriert, letztlich um ein „Schnäppchen“ handelt, kann jedoch nicht ohne weiteres angenommen werden. Es bleibt abzuwarten, wie anderen Behörden nachziehen werden. In jedem Fall zeigt das Bußgeld, dass der Schutz personenbezogener Daten im Unternehmen ernst genommen werden sollte.

Weitere Informationen zu dem Thema:

https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/

 

geschrieben von: Matthias Rosa

Matthias Rosa

Matthias Rosa
Fachanwalt für Informationstechnologierecht (IT-Recht)

 

 

 

RESMEDIA Mainz – Anwälte für IT-IP-Medien
Am Winterhafen 78 | 55131 Mainz
Fon +49 6131 144 56 -0 | Fax +49 6131 144 56 – 20
E-Mail: rosa@res-media.net
Internet: http://www.res-media.net

 

 

Back To Top