Erstes Bußgeld nach der Datenschutz-Grundverordnung in Deutschland
Zum Sachverhalt
Der in Baden-Württemberg ansässige Chat-Anbieter „Knuddels“ hat Anfang September 2018 festgestellt, dass infolge eines Hackerangriffs im Juli 2018 personenbezogene Daten von über 300.000 Nutzern entwendet und online veröffentlicht worden waren. Ermöglicht wurde diese Datenpanne, da das Unternehmen die Nutzer-Passwörter unverschlüsselt im Klartext gespeichert hatte. Damit verstieß „Knuddels“ gegen die Pflicht gem. Art. 32 Abs. 1 lit. a DS-GVO zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten. Sowohl die Meldung der Datenpanne gegenüber der zuständigen Landesdatenschutzbehörde als auch die Information der betroffenen Nutzer erfolgte jeweils innerhalb der strengen gesetzlichen Frist (72 Stunden bzw. unverzüglich).
Das Vorgehen des LfDI
Angesichts des Bußgeldrahmens bei Verstößen gegen Art. 32 DS-GVO von bis zu EUR 10 Mio. oder 2% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahr fällt das verhängte Bußgeld mit EUR 20.000,00 auf den ersten Blick moderat aus. Die Landesdatenschutzbehörde betont in ihrer Pressemitteilung, dafür seien insbesondere die sehr gute Kooperation des Unternehmens mit dem LfDI, die vorbildliche Transparenz sowie die hohe Geschwindigkeit bei der Umsetzung von Maßnahmen zur Verbesserung der IT-Sicherheitsarchitektur nach Bekanntwerden der Datenpanne ausschlaggebend gewesen.
Anmerkung
Auch wenn das Bußgeld in seiner Höhe moderat ausfällt, ist insoweit hervorzuheben, dass das Bußgeld nicht wegen der Datenpanne als solcher verhängt wurde – wäre sie nämlich nicht fristgerecht gemeldet worden, hätte dies vielmehr zur Verwirklichung eines eigenständigen, zusätzlichen Bußgeldtatbestands geführt. Vielmehr ist Grund für das Bußgeld allein die unzureichende interne technische Absicherung der Passwörter gewesen. Gegenstand des Verfahrens war somit ein internes Versäumnis des Unternehmens, das durch einen rechtswidrigen Akt eines Dritten bekannt wurde. Auch ging es in der Sache um Daten, die nicht als sensibel einzustufen sind.
Somit ist es zwar grundsätzlich zu begrüßen, dass der LfDI bei der Ahndung unsicherer Datenverarbeitungsvorgänge nicht die abschreckende Wirkung von Bußgeldern, sondern deren Verhältnismäßigkeit und damit die Datensicherheit für die betroffenen Personen in den Fokus rückt. Abzuwarten bleibt, ob andere Landesdatenschutzbehörden diesem Beispiel folgen werden. Nichtsdestotrotz verdeutlicht das erste deutsche DS-GVO-Bußgeld, das gerade einmal ein knappes halbes Jahr nach Geltung des neuen Rechts ergangen ist, dass die Behörden es ernst meinen. Somit werden Unternehmen nicht darauf vertrauen können, dass das Thema Datenschutz wieder an Bedeutung verlieren könnte. Ganz im Gegenteil ist davon auszugehen, dass bei echten Versäumnissen, bei denen die Behörde zum Ergebnis kommt, dass sich das Unternehmen der Umsetzung der DS-GVO bislang nur unzureichend angenommen hat, deutlich höhere Bußgelder verhängt werden.
Rechtsanwälte
Dr. Morton Douglas und
Dr. Lukas Kalkbrenner,
Friedrich Graf von Westphalen & Partner mbB, Köln
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
2.943
-
Wie kann die Verjährung verhindert werden?
2.041
-
Klagerücknahme oder Erledigungserklärung?
1.654
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.5782
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
1.381
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.380
-
Gerichtliche Ladungen richtig lesen und verstehen
1.340
-
Patronatserklärungen: Wirkung, Varianten und praktische Bedeutung
1.333
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.169
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.110
-
Rechtsunsicherheit für die Kundenanlage
17.12.2024
-
Die Verordnung über das Verbot von Produkten, die in Zwangsarbeit hergestellt wurden
11.12.2024
-
Änderungen des Energiewirtschaftsrechts – Was kommt noch nach dem Ampel-Aus?
10.12.2024
-
Anteil der Zahlungen von Cyber-Versicherungen wegen Datenschutzverstößen steigt stetig
06.12.2024
-
Das Scraping-Urteil des BGH zum Facebook-Datenleck
04.12.2024
-
BGH begrenzt Zulässigkeit von Skonti auf verschreibungspflichtige Arzneimittel
03.12.2024
-
Microsoft Advertising haftet bei fehlender Einwilligung automatisch gesetzter Cookies
28.11.2024
-
Rückbeteiligung bei Unternehmensverkäufen: Chancen und Herausforderungen
26.11.2024
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
25.11.2024
-
Risiko der Betriebsstättenbegründung durch mobiles Arbeiten im Ausland
18.11.2024