Digitalisierung & Dienstleistungen
Auswählen. Ausschreiben. Austauschen.
Wir schaffen AAA-Transparenz.
DIGI.REPORT

DSGVO / Erstes Urteil
Strafe nach Datenklau

Die Datenschutz-Behörde von Baden-Württemberg hat das Flirt-Portal „Knuddels“ zu einem Bußgeld von 20.000 Euro verdonnert. Wegen guter Zusammenarbeit fiel die Strafe glimpflich aus.

Nach Angaben des Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) in Baden-Württemberg, Stefan Brink, geschah Folgendes: Der Social-Media-Betreiber wandte sich am 8. September 2018 mit einer Datenpannenmeldung an ihn, nachdem er bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von rund 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren.

Passwörter der Nutzer im Klartext gespeichert

Seine Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend und legte auch gegenüber dem LfDI „in vorbildlicher Weise“ sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet gespeichert hatte.

Der LfDI veröffentlichte den Namen des Betreibers selbst zwar nicht. Aber es dauerte nicht lange, bis dieser im Netz kursierte. Die Chronologie der Datenpanne habe sich im Userforum des Flirt-Portals exakt nachverfolgen lassen, heißt es beispielsweise beim Datenschutz-Spezialisten eRecht24.

Wer aus seinem Schaden lernt, darf auf Milde hoffen

Zwar verurteilte der LfDI die Verantwortlichen wegen Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit zu einem Bußgeld von 20.000,- Euro. Aufgrund der „konstruktiven Zusammenarbeit“ und der „umfangreichen Verbesserungen bei der Sicherheit der Nutzerdaten“ aber fiel die Strafe glimpflich aus.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betont Brink. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.


Veröffentlicht am 06.12.2018