Datenschutz: DSGVO führt zu erstem Bußgeld in Deutschland - 20.000 EUR

 

Das soziale Netzwerk Knuddels muss ein Bußgeld in Höhe von „nur“ 20.000 EUR zahlen, weil es Kunden-Passwörter nicht ausreichend geschützt hatte. Dies teilte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) in einer Pressemitteilung mit. Es stellt wohl das erste Bußgeld nach neuem Datenschutzrecht in Deutschland dar.

 

Das Netzwerk Knuddels hatte sich im September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, weil es bemerkte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern entwendet und veröffentlicht worden. Zu diesen Daten gehörten Passwörter und E-Mail-Adressen. Der LfDI teilte mit, dass Knuddels durch die Speicherung der Passwörter im Klartext wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit nach Artikel 32 Absatz 1 a) Datenschutzgrundverordnung (DSGVO) verstoßen habe.

 

Das gegen Knuddels verhängte Bußgeld in Höhe von 20.000 EUR ist – so auch die Aufsichtsbehörde – glimpflich. Denn nur wegen der umfassenden Kooperation mit der Behörde und die bereitwilligen Verbesserung im Datenschutz und in der IT-Sicherheit konnte Weiteres verhindert werden.

 

Der LfDI begründet die Höhe des Bußgeldes entsprechend wie folgt in seiner Pressemitteilung:

 

„Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.“

 

Die Panikmache zum Anwendungszeitpunkt der DSGVO war dahingehend übertrieben, dass etwa mit dem Stichtag zum 25.05.2018 sofort Bußgelder verhängt werden oder eine Abmahnwelle Unternehmen treffen würden. Beides ist nämlich nicht eingetreten. Die Aufsichtsbehörden berichteten aber bereits in den vergangenen Monaten, dass am Ende des Jahres und in den kommenden Monaten erste Bußgelder verhängt werden sollten. Es ist ein oft vor vorgehaltener Hand ausgesprochenes Geheimnis, dass auch die Aufsichtsbehörden durch die DSGVO unter Leistungs- und Erfolgsdruck stehen: Sie müssen neben vielen neuen Aufgaben nun zeigen, dass die „DSGVO wirkt“. Vor diesem Hintergrund erwarten wir in Kürze weitere Bußgeldmeldungen, die sich auch in höheren Bereichen beziffern werden.

 

 

"Datenschutz: DSGVO führt zu erstem Bußgeld in Deutschland - 20.000 EUR" 

von Rechtsanwalt Jean Paul P. Bohne