Erste DSGVO-Strafe in Deutschland: Baden-württembergische Aufsichtsbehörde verhängt 20.000 Euro Bußgeld gegen „Knuddels“

Freitag, 30. November 2018

Wegen eines erheblichen Verstoßes gegen die Datensicherheit hat der baden-württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) gegen das Flirt-Portal „Knuddels“ ein Bußgeld von 20.000 Euro verhängt.

Passwörter der Nutzer im Klartext

Was war geschehen? Laut des LfDI hatte sich das Unternehmen aus Karlsruhe Anfang September 2018 mit einer Datenschutzpanne an die Aufsichtsbehörde gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Sommer 2018 personenbezogene Daten von ca. 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet worden waren und wenige Monate später auf einer Filesharing-Website veröffentlicht wurden.

Gegenüber dem LfDI legte Knuddels daraufhin sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, d.h. unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte.

Bußgeld trotz sehr gute Kooperation

„Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.“, heißt es in der Pressemitteilung des LfDI.

Knuddels setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung der IT-Sicherheitsarchitektur um und brachte die Sicherung der Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Trotz „sehr gute Kooperation mit dem LfDI“, „beispielhafter Transparenz“ und der „Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit umzusetzen“, sprach die Aufsichtsbehörde ein spürbares Bußgeld aus.

Kein Wettbewerb um möglichst hohe Bußgelder

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte der Landesbeauftragte Dr. Stefan Brink. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Bußgeld hätte noch höher ausfallen können

Der LfDI hätte ein Bußgeld bis zu 20 Mio. Euro oder vier Prozent des Umsatzes des vorangegangenen Geschäftsjahres verhängen können. Gemessen daran kam die Chat-Plattform mit einem vergleichsweise niedrigen Bußgeld davon, weil es seinen Meldepflichten bei Datenschutzpannen vorbildlich nachkam und Vorgaben und Empfehlungen des LfDI rasch umsetzte. Der Datenschutzverstoß wäre für Knuddels sonst wohl erheblich teurer geworden.

Fazit: Umgang mit Datenschutzpannen organisieren

Unternehmen, gleich welcher Größe, ist bei einer Datenschutzpanne zu raten, nicht den Kopf in den Sand zu stecken. Pannen müssen umgehend dem Datenschutzbeauftragten gemeldet werden, um den weiteren Umgang mit dem Vorfall zu klären. Laut DSGVO muss eine Datenschutzpanne unverzüglich und möglichst binnen 72 Stunden der Aufsichtsbehörde gemeldet werden, wenn diese zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 DSGVO). In bestimmten Fällen müssen auch die Betroffenen selbst (Art. 34 DSGVO) informiert werden.

Der Fall Knuddels zeigt, dass sich die Höhe eines Bußgeldes durch Transparenz und Aufklärungsbemühungen und die Bereitschaft, die Technik auf den neuesten Stand zu bringen, positiv beeinflussen lässt. Zudem berücksichtigen die Datenschutzbehörden bei der Bemessung des Bußgelds auch finanzielle Belastungen, die mit dem Datenschutzverstoß, der Beseitigung der Folgen und der Vermeidung zukünftiger Verstöße einhergehen. Unter Einbeziehung aller Maßnahmen für IT-Sicherheit hat Knuddels einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen. (fl)

Quellen:

Pressemitteiliung des LfDI Baden-Württemberg vom 22.11.2018: LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO

heise online vom vom 22.11.2018: Passwörter im Klartext: 20.000 Euro Bußgeld nach DSGVO gegen Knuddels.de