dsgvo-datenpanne-bussgeld

Gehackte Nutzerdaten unverschlüsselt abgespeichert: Behörde verhängt 20.000,00 Euro Bußgeld wegen DSGVO-Verstoß

Nicht ohne Stolz berichtet der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) über das erste von dieser Behörde verhängte Bußgeld nach DSGOV in Höhe von 20.000,00 Euro.

Die Meldung des LfDI  hinterlässt einen etwas schalen Beigeschmack.

Was war passiert?

Ein Social-Mediaanbieter aus Deutschland hatte im September 2018 eine Datenpanne an das LfDI gemeldet, nachdem der Anbieter bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von ca. 330.000 Nutzern entwendet worden waren. Zu diesen Daten gehörte Passwörter und E-Mail-Adressen. Die Nutzer wurden durch das Unternehmen unverzüglich und umfassend über den Hackerangriff informiert. Datenpannen müssen binnen 72 Stunden an die zuständige Behörde gemeldet werden.

Art. 33 DSGVO Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. 2Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Im Rahmen der Meldung gegenüber dem LfDI stellte sich heraus, dass es innerhalb des Unternehmens erhebliche eigene Versäumnisse gab. Das Unternehmen hatte die Passwörter im Klartext, mithin unverschlüsselt und unverfremdet gespeichert.

Die Klartextpasswörter nutze das Unternehmen im Rahmen eines sogenannten Passwortfilters zur Verhinderung der Übermittlung von Nutzungspasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen. Das unverschlüsselte Abspeichern von Passwörtern ist unzulässig.

Innerhalb von relativ kurzer Zeit setzte das Unternehmen weitreichende Maßnahmen zur Verbesserung der IT-Sicherheitsstruktur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Letztlich lag in der unverschlüsselten Speicherung der Nutzerdaten (Passwörter) ein Verstoß gegen Art. 32 1a DSGVO.

Dennoch Bußgeld

Die Behörde verhängte ein Bußgeld in Höhe von 20.000,00 Euro. In der Überschrift zur Pressemitteilung des LfDI heißt es: “Kooperation mit Aufsicht macht es glimpflich”.

Im Übrigen heißt es in der Pressemitteilung:

“Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 3 DSGVO sprach die sehr gute Kooperation mit dem LfDI im besonderen Maße zugunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft, wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für Datenschutz und Informationsfreiheit, Dr. Stefan Brink, umzusetzen…. Bei Bemessung der Geldbuße wurden neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach DSGVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein.

Unter Einbeziehung der aufgewendeten avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße in Folge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.”

Dr. Brink wird mit dem doch leicht zynischen Satz zitiert

“Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen.”

Sicherlich ist die Behörde berechtigt, im Fall einer Datenpanne ein Bußgeld zu verhängen. Die Außenwirkung, die insbesondere jetzt im leicht arroganten Stil der Pressemitteilung der Behörde deutlich wird, ist jedoch eine andere: Wenn ein Fehler gemacht wird und dieser innerhalb der gesetzlichen Fristen gemeldet wird und umfangreich kooperiert wird, gibt es dennoch ein nicht unerhebliches Bußgeld. Zudem ist der Behörde der Stolz anzumerken, als offensichtlich erste Behörde in Deutschland in diesem Bereich nach unserer Kenntnis ein fünfstelliges Bußgeld verhängt zu haben.

Datenpannen nicht zu melden ist vor dem Hintergrund des Verhaltens der Behörde sicherlich keine Alternative, eine umfangreiche Kooperation jedoch durchaus.

Wir beraten Sie bei einer Datenpanne.

Stand:23.11.2018

Ihre Ansprechpartner: Rechtsanwalt Andreas Kempcke (Fachanwalt für IT-Recht und TÜV-zertifizierter Datenschutzbeauftragter)

https://ssl-vg03.met.vgwort.de/na/ae92cda6cc8a48cfa91cc0c8279e6ce9