Dr. Morton Douglas, Dr. Lukas Kalkbrenner, LL.M.
Zusammenfassung
Die Bußgeldstelle des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat mit Bescheid vom 21. November 2018 ein erstes Bußgeld in Deutschland auf Grundlage der Datenschutz-Grundverordnung (DS-GVO) verhängt.
Zum Sachverhalt
Der in Baden-Württemberg ansässige Chat-Anbieter "Knuddels" hat Anfang September 2018 festgestellt, dass infolge eines Hackerangriffs im Juli 2018 personenbezogene Daten von über 300.000 Nutzern entwendet und online veröffentlicht worden waren. Ermöglicht wurde diese Datenpanne, da das Unternehmen die Nutzer-Passwörter unverschlüsselt im Klartext gespeichert hatte. Damit verstieß "Knuddels" gegen die Pflicht gem. Art. 32 Abs. 1 lit. a DS-GVO zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten. Sowohl die Meldung der Datenpanne gegenüber der zuständigen Landesdatenschutzbehörde als auch die Information der betroffenen Nutzer erfolgte jeweils innerhalb der strengen gesetzlichen Frist (72 Stunden bzw. unverzüglich).
Das Vorgehen des LfDI
Angesichts des Bußgeldrahmens bei Verstößen gegen Art. 32 DS-GVO von bis zu EUR 10 Mio. oder 2% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahr fällt das verhängte Bußgeld mit EUR 20.000,00 auf den ersten Blick moderat aus. Die Landesdatenschutzbehörde betont in ihrer Pressemitteilung, dafür seien insbesondere die sehr gute Kooperation des Unternehmens mit dem LfDI, die vorbildliche Transparenz sowie die hohe Geschwindigkeit bei der Umsetzung von Maßnahmen zur Verbesserung der IT-Sicherheitsarchitektur nach Bekanntwerden der Datenpanne ausschlaggebend gewesen.
Anmerkung
Auch wenn das Bußgeld in seiner Höhe moderat ausfällt, ist insoweit hervorzuheben, dass das Bußgeld nicht wegen der Datenpanne als solcher verhängt wurde – wäre sie nämlich nicht fristgerecht gemeldet worden, hätte dies vielmehr zur Verwirklichung eines eigenständigen, zusätzlichen Bußgeldtatbestands geführt. Vielmehr ist Grund für das Bußgeld allein die unzureichende interne technische Absicherung der Passwörter gewesen. Gegenstand des Verfahrens war somit ein internes Versäumnis des Unternehmens, das durch einen rechtswidrigen Akt eines Dritten bekannt wurde. Auch ging es in der Sache um Daten, die nicht als sensibel einzustufen sind. Somit ist es zwar grundsätzlich zu begrüßen, dass der LfDI bei der Ahndung unsicherer Datenverarbeitungsvorgänge nicht die abschreckende Wirkung von Bußgeldern, sondern deren Verhältnismäßigkeit und damit die Datensicherheit für die betroffenen Personen in den Fokus rückt. Abzuwarten bleibt, ob andere Landesdatenschutzbehörden diesem Beispiel folgen werden. Nichtsdestotrotz verdeutlicht das erste deutsche DS-GVO-Bußgeld, das gerade einmal ein knappes halbes Jahr nach Geltung des neuen Rechts ergangen ist, dass die Behörden es ernst meinen. Somit werden Unternehmen nicht darauf vertrauen können, dass das Thema Datenschutz wieder an Bedeutung verlieren könnte. Ganz im Gegenteil ist davon auszugehen, dass bei echten Versäumnissen, bei denen die Behörde zum Ergebnis kommt, dass sich das Unternehmen der Umsetzung der DS-GVO bislang nur unzureichend angenommen hat, deutlich höhere Bußgelder verhängt werden.