Gratis
14. Dezember 2018 - DSGVO

Erste Geldbuße wegen DSGVO-Verstoß verhängt

Drucken

Ein Social-Media-Anbieter verstieß gegen die in der Datenschutz-Grundverordnung (DSGVO) vorgeschriebene Datensicherheit. Deshalb verhängte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg eine Geldbuße von 20.000 Euro.

Die erste DSGVO-Geldbuße in Deutschland kommt von der Datenschutz-Aufsichtsbehörde in Baden-Württemberg Wer mit den Behörden kooperiert, kann mit einer deutlich niedrigeren Strafe rechnen (Bild: iStock.com / baona)

Es handelt sich hierbei um die erste Geldbuße, die eine deutsche Aufsichtsbehörde unter der Datenschutz-Grundverordnung (DSGVO) verhängt hat.

Hackerangriff legt Benutzerdaten offen

Aufgrund eines Hackerangriffs waren E-Mail-Adressen und Pseudonyme sowie Passwörter von 330.000 Nutzern der Plattform öffentlich geworden. Insgesamt zählt das Netzwerk 2,5 Millionen registrierte Nutzer.

Der Betreiber hatte zwar sämtliche Passwörter als „Hash“ gespeichert, allerdings blieben die Passwörter zusätzlich im Klartext für einen sogenannten Passwortfilter erhalten.

Dadurch verstieß das Unternehmen laut der Behörde wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 der DSGVO.

Datenschutz-Aufsichtsbehörde lobt die Betreiber

In ihrer Presseerklärung äußert die Behörde Lob für das betroffene Unternehmen.

Dieses hatte am 08. September 2018 die Datenpanne an den LfDI gemeldet, nachdem es den Hackerangriff bemerkte. Die Nutzer informierte das soziale Netzwerk nach den Vorgaben der EU-Datenschutz-Grundverordnung unverzüglich und umfassend über den Hackerangriff.

Außerdem habe das Netzwerk gegenüber dem LfDI in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offengelegt.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung der IT-Sicherheitsarchitektur um. Damit brachte es die Sicherung der Nutzerdaten auf den aktuellen Stand der Technik.

In Absprache mit dem LfDI sollen in den kommenden Monaten zusätzliche Maßnahmen für eine verbesserte Datensicherheit durchgeführt werden.

Geldbuße nach DSGVO muss verhältnismäßig sein

Im Vergleich zu den Höchstsummen, die im Zusammenhang mit DSGVO-Verstößen möglich sind, erscheint die verhängte Geldbuße von 20.000 Euro eher moderat. Die Behörde betont die sehr gute Kooperation mit dem LfDI, was in besonderem Maße zu Gunsten des Unternehmens zu werten war.

Die Transparenz des Unternehmens sei beispielhaft gewesen, genau wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit umzusetzen.

Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Denn die Geldbußen sollen nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein.

Der Vorfall zeigt, dass es sich im Falle einer Datenpanne lohnt, die Faktoren, die das Unternehmen nachträglich beeinflussen kann, auszuschöpfen: eigene unverzügliche Meldung, Transparenz und Kooperation mit der Behörde.

Stephan Lamprecht