Sie befinden sich hier:

Erste Datenschutzaufsichtsbehörde verhängt Bußgeld auf Grundlage der DSGVO

Mitte November hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg erstmalig ein Bußgeld wegen eines Verstoßes gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit verhängt.

Zum Sachverhalt teilt der LfDI in einer Pressemitteilung vom 22. November 2018 Folgendes mit: „Ein Social-Media Anbieter hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem er bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sogenannten „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DSGVO.“

Das sehr milde Bußgeld in Höhe von 20.000 Euro begründet der LfDI damit, dass das Unternehmen sehr gut mit dem LfDI kooperiert habe. Die Transparenz des Unternehmens sei ebenso beispielhaft wie die Bereitschaft gewesen, die Vorgaben und Empfehlungen des LfDI umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. Außerdem wurde bei der Bemessung der Geldbuße neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DSGVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein.

Fundstelle

Pressemitteilung des LfDI Baden-Württemberg vom 22. November 2018 – abrufbar im Internet unter https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/

nach oben