20.000 Euro Bußgeld wegen Verstoßes gegen die DSGVO

Das  LfDI Baden-Württemberg hat gegen ein Unternehmen ein Bußgeld in Höhe von 20.000 Euro erlassen. Für die Art des Verstoßes ein eher noch moderates Bußgeld. Hintergrund war, dass das Unternehmen sehr gut mit den Datenschützern zusammengearbeitet hat.

Ein Social-Media-Anbieter aus Baden-Württemberg verstieß gegen die in Art. 32 DSGVO vorgesehene Pflicht zur Datensicherheit. Dort heißt es:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

Passwörter im Klartext gespeichert

Genau gegen diese Pflichten verstieß das Unternehmen aber.

Am 8. September 2018 meldete sich das Unternehmen beim Landesdatenschutzbeauftragten und informierte über eine Datenpanne. Bei einem Hackerangriff im Juli 2018 wurden personenbezogene Daten von ca. 330.000 Nutzern entwendet und später sogar veröffentlicht worden. Unter den Daten befanden sich auch E-Mail-Adressen und Passwörter.

In seiner Pressemitteilung betont der Landesdatenschutzbeauftragte, dass das Unternehmen „in vorbildlicher Weise“ sowohl die Datenverarbeitungs- wie auch Unternehmensstrukturen offenlegte – aber auch eigene Versäumnisse.

Durch diese Offenlegung kam heraus, dass die Passwörter der Nutzer im Klartext, d.h. unverschlüsselt und unverfremdet, gespeichert wurden.

Zusammenarbeit mit den Datenschützern

In der Folgezeit arbeitete das Unternehmen eng mit dem Landesdatenschutzbeauftragten zusammen und implementierte weitreichende Maßnahmen zur Verbesserung der IT-Sicherheitsstruktur. Die Sicherung der Nutzerdaten wurde auf den aktuellen Stand der Technik gebracht.

Der Landesdatenschutzbeauftragte merkte hierzu an:

„Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DSGVO.“

Bei der Verhängung des Bußgeldes wurde insbesondere berücksichtigt, dass das Unternehmen sehr kooperativ war und eng mit dem Landesdatenschutzbeauftragten zusammengearbeitet hat. Außerdem wurde die wirtschaftliche Situation betrachtet.

Fazit

Es werden bereits erste Stimmen laut, die das Bußgeld in dem Verfahren kritisieren. Diese Stimmen meinen, dass das Unternehmen ja ziemlich blöd gewesen sei, sich selbst anzuzeigen und kooperativ zu sein, wenn am Ende doch noch ein Bußgeld gezahlt werden muss. Auf den ersten Blick mag das eine nachvollziehbare Argumentation sein. Aber: Hätte das Unternehmen sich nicht selbst angezeigt und sich geweigert, mit der Behörde zusammen zu arbeiten, wäre das Bußgeld um ein Vielfaches höher ausgefallen.

Der Fall zeigt nicht nur, wie wichtig in einem Data-Breach-Szenario die Zusammenarbeit mit den Behörden ist. Sie zeigt auch, dass Unternehmen einen Maßnahmenplan für diese Fälle bereit haben muss. Denn nur so kann man im Fall der Fälle schnell und souverän reagieren. Insbesondere die Schnelligkeit ist wichtig: Das Gesetz schreibt eine Meldung bei der Behörde innerhalb von 72 Stunden nach Bekanntwerden der Datenpanne vor.

Orientierung bei der Implementierung eines Informationssicherheits-Konzeptes bieten die BSI-Standards 200-1, 200-2, 200-3 und 100-4. (mr)

Martin Rätze