Fast genau ein halbes Jahr nach verpflichtenden Inkrafttreten, hat eine deutsche Datenschutzbehörde ein erstes Bußgeld verhängt. Dieses wurde von der Bußgeldstelle des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg ausgesprochen.
Ein Social-Media-Anbieter aus Karlsruhe hatte sich am 08.09.2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von ca. 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Seine Nutzer informierte das Unternehmen nach den Vorgaben der Datenschutzgrundverordnung über den Hackerangriff. Gegenüber dem LfDI legte es Datenverarbeitungs- und Unternehmensstrukturen sowie eigene Versäumnisse gemäß Art. 33 DSGVO offen.
Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter seiner Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sogenannten "Passwortfilters" zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.
Durch die Speicherung der Passwörter im Klartext habe das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 lit. a DSGVO verstoßen, so die Datenschutzbehörde. Mit Bescheid vom 21.11.2018 wurde daher ein Bußgeld in Höhe von € 20.000,00 gegen das Unternehmen verhängt.
Dass das Bußgeld in Anbetracht des möglichen Bußgeldrahmens von bis zu € 20 Mio. so „gering“ ausgefallen ist, war nach Aussage des LfDI insbesondere darauf zurückzuführen, dass das Unternehmen mit der Behörde zusammengearbeitet und die Vorgaben und Empfehlungen umgesetzt habe. Auf diese Weise sei in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert worden. Bei der Bemessung der Geldbuße sei neben weiteren Umständen aber auch die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt worden.
Der Fall zeigt zum einen, dass nicht sofort eine Ausschöpfung des Strafrahmens erfolgen muss und zum anderen, dass sich eine konstruktive Zusammenarbeit mit der Datenschutzbehörde im Falle einer Datenpanne auszahlen kann.
Bleibt abzuwarten, wie andere Datenschutzbehörden kommende Vorfälle ahnden.
Diesen Artikel und weitere Steuernews lesen Sie im Mandantenbrief Dezember 2018.