DSGVO: Erstes Bußgeld verhängt – 20.000,00 für Sicherheitslücke
Erste Bußgelder wegen DSGVO Verstößen – Aufsichtsbehörde BaWü verhängt 20.000 €
Das Bußgelder kommen war klar. Jetzt ist es soweit. Wie der Tagespresse zu entnehmen war (Stuttgarter Zeitung vom 23.11.2018, Seite 1) hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) informiert, dass das erste Bußgeld der Behörde auf Basis der DSGVO verhängt wurde.
Die Höhe des Bußgeldes beträgt 20.000,00 €. Angesichts des Verstoßes glimpflich, möchte man meinen.
Dem Bußgeld lag folgender Sachverhalt zugrunde:
Das Karlsruher Unternehmen “Knuddels” hatte mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen.
Das Datenpannenmanagement hat also funktioniert.
Problem war: Das Unternehmen die Passwörter ihrer Nutzer unverschlüsselt gespeichert. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen. Dasa hat nicht so richtig geklappt. Offensichtlich lag eine Sicherheitslücke vor.
In Anbetracht des Umfangs des Vorfalls ist das Bußgeld milde ausgefallen. Nach Angaben des LfDI BW war hier vor allem auch die gute Kooperation des betroffenen Unternehmens zu berücksichtigen. Außerdem sei bei der Bemessung des Bußgeldes „neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen“ zu berücksichtigen gewesen, so der LfDI BW.
Damit gibt es erste Kriterien bei der Bußgeldbemessung.
Die Behörde hat mitgeteilt, dass über 70 weitere Verfahren anhängig sind und das sich die Zahl der Anzeigen verdreifacht hat. Da wird also noch Einiges kommen. Abhilfe von Seiten der deutschen Politik wird hier kaum geschaffen werden können, da es sich um EU-Recht handelt. Hier hat Brüssel den Hut auf.
Ein Beitrag von Gastautor Thomas Lang
Rechtsanwalt, Fachanwalt für Arbeitsrecht & zertifizierter Datenschutzbeauftragter
https://www.datenschutzadvokat.de