Erstes DSGVO-Bußgeld in Deutschland – 20.000 € für gehackte Passwörter und E-Mail-Adressen

Der Landesbeauftragte für Datenschutz und Informationssicherheit (LfDI) Baden-Württemberg hat nach eigenen Angaben das erste Bußgeld nach DSGVO in Deutschland verhängt. Ein Social Media Anbieter sei mit “nur” 20.000 € davon gekommen, weil er mit der Behörde umfassend kooperiert habe.

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit habe die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt, so die Pressemitteilung der Behörde.

Datenpanne gemeldet, Nutzer informiert

Das Unternehmen hatte im September 2018 eine Datenpanne an die Behörde gemeldet, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren.

Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Die Passwörter der Nutzer waren im Klartext (unverschlüsselt und ungehasht) gespeichert. Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Verbesserung der IT-Sicherheit

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik, so die Behörde.

Glimpfliches Bußgeld

Trotz des gravierenden Vorfalls fiel das Bußgeld der Behörde verhältnismäßig gering aus. Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens, so der Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink.

Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein, so die Behörde.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Fazit

Die DSGVO wirkt. Noch kein halbes Jahr seit Geltung ist vergangen, und schon hat eine Behörde in Deutschland ein erstes Bußgeld verhängt. Dieses beträgt zwar nicht 20 Mio, aber immerhin 20.000 €, ein Betrag, der vielen Unternehmen durchaus weh tun dürfte. Unverschlüsseltes Speichern von Passwörtern und sonstigen Daten ist ein gravierender Verstoß gegen die Pflicht zur Gewährung der Datensicherheit.

Es gibt sie also doch, die Behördenbußgelder. Auch DSGVO-Abmahnungen waren schon viermal vor Gericht. Wer das Thema DSGVO immer noch nicht ernst nimmt, sollte spätestens jetzt aufwachen, um hohe Kosten zu vermeiden.