Aufsichtsbehörde verhängt 20.000 Euro Bußgeld nach Datenpanne

“Fakt ist – Daten­pan­nen kos­ten!” – Mar­kus Spöhr

Nach einer Daten­pan­ne beim sozia­len Netz­werk Knuddels.de im Juli 2018 und der dar­auf fol­gen­den Mel­dung der Daten­pan­ne durch die ver­ant­wort­li­che Stel­le gemäß Art. 33 DSGVO im Sep­tem­ber 2018 bei der Auf­sichts­be­hör­de Baden-Württemberg, ver­häng­te die­se nun ein Buß­geld in Höhe von 20.000 Euro gegen die Social-Media-Plattform.
Nach einem Hack­an­griff sind nach Dar­stel­lung des Unter­neh­mens etwa 808.000 E‑Mail-Adressen sowie 1.872.000 Pseud­ony­me und Pass­wör­ter im Inter­net ver­öf­fent­licht wor­den. Knuddels.de hat­te die Pass­wör­ter ihrer Nut­zer in Klar­text, unver­schlüs­selt und unge­hasht auf ihren Ser­vern gespei­chert. Zumin­dest die Spei­che­rung der Pass­wör­ter im Klar­text ist aus Sicht der Auf­sichts­be­hör­de ein ein­deu­ti­ger Ver­stoß gegen Art. 32 Abs. 1 lit. a DSGVO. Dem­nach sind aus­rei­chend Maß­nah­men wie die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten ein­zu­rich­ten, um ein ange­mes­se­nes Schutz­ni­veau zu gewährleisten.

Trotz der Daten­pan­ne und der Ver­hän­gung des Buß­gel­des lob­te die Auf­sichts­be­hör­de das Unter­neh­men. In der Pres­se­mit­tei­lung vom 22. Novem­ber heißt es: „Gegen­über dem LfDI leg­te das Unter­neh­men in vor­bild­li­cher Wei­se sowohl Datenverarbeitungs- und Unter­neh­mens­struk­tu­ren als auch eige­ne Ver­säum­nis­se offen“ und „Wer aus Scha­den lernt und trans­pa­rent an der Ver­bes­se­rung des Daten­schut­zes mit­wirkt, kann auch als Unter­neh­men aus einem Hacker­an­griff gestärkt hervorgehen.“

Der Ablauf nach dem Bekannt­wer­den der Daten­pan­ne mit anschlie­ßen­der Ver­hän­gung des Buß­gel­des durch die Auf­sichts­be­hör­de, könn­te so man­chen ver­meint­lich fin­di­gen Unter­neh­mer zum Nach­den­ken anre­gen. Schließ­lich hat die Auf­sichts­be­hör­de erst durch die Mel­dung von dem Ver­stoß gegen Art. 32 Abs. 1 lit. a DSGVO erfah­ren und dar­auf­hin das Buß­geld erlas­sen. Wie­so soll­te man also in Zukunft über­haupt noch eine Daten­pan­ne mel­den, wenn mit einer Stra­fe zu rech­nen ist? Jene Unter­neh­mer sei­en gewarnt. Art. 33 DSGVO nor­miert aus­drück­lich die Pflicht zur unver­züg­li­chen Mel­dung bei Ver­let­zung des Schut­zes von per­so­nen­be­zo­ge­nen Daten, es sei denn, die Daten­pan­ne führt vor­aus­sicht­lich nicht zu einem Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen. Wer die­ser Pflicht nicht nach­kommt, dem kann eine Geld­bu­ße von bis zu 10.000.000 Euro oder im Fall eines Unter­neh­mens von bis zu 2 % sei­nes gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes des vor­an­ge­gan­gen Geschäfts­jah­res dro­hen. So kam es Knuddels.de eigent­lich ent­ge­gen, dass sie nach Bekannt­wer­den der Daten­pan­ne unver­züg­lich gehan­delt und alle pro­zes­sua­len Schrit­te nach der DSGVO ein­ge­hal­ten hat. Die­ser Umstand wur­de von der Auf­sichts­be­hör­de bei der Bestim­mung der letzt­lich mode­ra­ten Buß­geld­hö­he von 20.000 Euro gewürdigt.

Fakt ist — Daten­pan­nen kosten!

Wer sich aber an die Spiel­re­geln hält, kann noch­mals mit einem blau­en Auge davon kom­men. Unter­neh­men, die mit einer Daten­pan­ne kon­fron­tiert sind, soll­ten gemäß Art. 33 DSGVO prü­fen, ob Sie nicht mög­li­cher­wei­se einer Mel­de­pflicht unter­lie­gen. Sie sind des­halb gut bera­ten sich bei der Prü­fung den Rat eines ver­sier­ten Daten­schutz­recht­lers einzuholen.

Autor: Mar­kus Spöhr, Wirt­schafts­ju­rist LL.B. & Bera­ter im Datenschutz