Datenschutz: Aufsichtsbehörde verhängt 20.000 Euro Bußgeld nach Datenpanne

Die Aufsichtsbehörde Baden-Württemberg verhängt erstmalig ein Bußgeld auf Grundlage der DSGVO

Datenschutz lebt! Nachdem das Landgericht Würzburg eine unzureichende Datenschutzerklärung für abmahnfähig erklärte, wurde nun im Rahmen einer Datenpanne das erste Bußgeld von einer Aufsichtsbehörde verhängt.   

Nach einer Datenpanne beim sozialen Netzwerk Knuddels.de im Juli 2018 und der darauf folgenden Meldung der Datenpanne durch die verantwortliche Stelle gemäß Art. 33 DSGVO im September 2018 bei der Aufsichtsbehörde Baden-Württemberg, verhängte diese nun ein Bußgeld in Höhe von 20.000 Euro gegen die Social-Media-Plattform.
Nach einem Hackangriff sind nach Darstellung des Unternehmens etwa 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter im Internet veröffentlicht worden. Knuddels.de hatte die Passwörter ihrer Nutzer in Klartext, unverschlüsselt und ungehasht auf ihren Servern gespeichert. Zumindest die Speicherung der Passwörter im Klartext ist aus Sicht der Aufsichtsbehörde ein eindeutiger Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO. Demnach sind ausreichend Maßnahmen wie die Pseudonymisierung und Verschlüsselung personenbezogener Daten einzurichten, um ein angemessenes Schutzniveau zu gewährleisten.  

Trotz der Datenpanne und der Verhängung des Bußgeldes lobte die Aufsichtsbehörde das Unternehmen. In der Pressemitteilung vom 22. November heißt es: „Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen“ und „Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen.“

Der Ablauf nach dem Bekanntwerden der Datenpanne mit anschließender Verhängung des Bußgeldes durch die Aufsichtsbehörde, könnte so manchen vermeintlich findigen Unternehmer zum Nachdenken anregen. Schließlich hat die Aufsichtsbehörde erst durch die Meldung von dem Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO erfahren und daraufhin das Bußgeld erlassen. Wieso sollte man also in Zukunft überhaupt noch eine Datenpanne melden, wenn mit einer Strafe zu rechnen ist? Jene Unternehmer seien gewarnt. Art. 33 DSGVO normiert ausdrücklich die Pflicht zur unverzüglichen Meldung bei Verletzung des Schutzes von personenbezogenen Daten, es sei denn, die Datenpanne führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Wer dieser Pflicht nicht nachkommt, dem kann eine Geldbuße von bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres drohen. So kam es Knuddels.de eigentlich entgegen, dass sie nach Bekanntwerden der Datenpanne unverzüglich gehandelt und alle prozessualen Schritte nach der DSGVO eingehalten hat. Dieser Umstand wurde von der Aufsichtsbehörde bei der Bestimmung der letztlich moderaten Bußgeldhöhe von 20.000 Euro gewürdigt.  

Fakt ist - Datenpannen kosten!

Wer sich aber an die Spielregeln hält, kann nochmals mit einem blauen Auge davon kommen. Unternehmen, die mit einer Datenpanne konfrontiert sind, sollten gemäß Art. 33 DSGVO prüfen, ob Sie nicht möglicherweise einer Meldepflicht unterliegen. Sie sind deshalb gut beraten sich bei der Prüfung den Rat eines versierten Datenschutzrechtlers einzuholen.   

Autor: Markus Spöhr, Wirtschaftsjurist LL.B. & Berater im Datenschutz