Datenschutzgrundverordnung (DGVO) Bußgeld verhängt

Die Datenschutzgrundverordnung (DGVO) hat bei allen, neben dem Hauptgeschäft viel Aufwand und Ressourcen gebunden.
Nun wurde ein erstes DSGVO-Bußgeld verhängt - 20.000 EUR für fehlende Verschlüsselung

Erstmals in Deutschland wurde eine Geldbuße nach dem verschärften Sanktionsrecht der Datenschutzgrundverordnung verhängt. Es traf den Social-Media-Dienst Knuddels.de, dem bei einem Hackerangriff unverschlüsselt gespeicherte Passwörter von zahlreichen Nutzern gestohlen wurden. Bei der Bußgeldhöhe berücksichtigte die Datenschutzbehörde die Bereitschaft von Knuddels.de zur Zusammenarbeit mit der Behörde.
Wir sehen, die Schonzeit ist vorbei, aber Sanktionen werden bei einsichtigen Unternehmen mit Augenmaß verhängt.
Im Juli 2018 waren Hacker mit einem Angriff auf die Server des sozialen Netzwerks Knuddels.de erfolgreich gewesen und hatten personenbezogene Daten von rund 330.000 Nutzern dieser Plattform entwendet. Besonders brisant war, dass dabei auch die unverschlüsselt gespeicherten Passwörter sowie E-Mail-Adressen erbeutet wurden, wodurch zusätzliche Risiken für die Betroffenen entstanden.
Schnelle Reaktion von Knuddels.de nach dem Hackerangriff
Nachdem die Daten Anfang September teilweise veröffentlicht wurden und das Unternehmen von dem erfolgreichen Angriff erfuhr, informierten die Verantwortlichen zum einen unverzüglich die Nutzer über den Hackerangriff und meldete die Datenpanne zum anderen auch an den zuständigen Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI), wie es sein sollte..
Versäumnisse gegenüber der Behörde offengelegt
Als das Unternehmen anschließend seine Datenverarbeitungsstrukturen und auch seine Versäumnisse gegenüber der Behörde offenlegte, wurde dem LfDI bekannt,dass man dort bei der Speicherung der Passwörter weder ein Verschlüsselungs- noch ein Hash-Verfahren eingesetzt hatte,
sodass die Daten im Klartext vorlagen. Damit lag ein Verstoß gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DSGVO vor, der entsprechende Sanktionen nach sich zieht.
Umfangreiche Zusammenarbeit wirkte Bußgeld senkend
Zugunsten des Unternehmens sprach die von Anfang an sehr hohe Kooperationsbereitschaft und auch rasche Umsetzung der vom LfDI vorgeschlagenen Empfehlungen zur Erhöhung der Datensicherheit. Bei der Bemessung des Bußgeldes nach Art.83 ABS 4 DSGVO konnten diese Faktoren daher strafmildernd berücksichtigt werden. Auch die Gesamtbelastung für das Unternehmen floss nach Angaben des LfDI dabei ein.
Zusätzliche Sicherheitsmaßnahmen ergriffen
Das Bußgeld stellt jedoch nur einen Teil der finanziellen Belastungen für die Online-Plattform dar. Berücksichtigt man die bereits ergriffenen sowie die weiteren angekündigten Maßnahmen zur Erhöhung der IT-Sicherheit, wird sich der Gesamtaufwand für Knuddels.de in einem sechsstelligen Euro-Bereich bewegen.
Echte Belastungsprobe für Unternehmen
Auch der Geschäftsführer der Knuddels GmbH & Co. KG, Holger Kujath, zeigte sich zufrieden. Der Hackerangriff sei eine echte Belastungsprobe für das Unternehmen gewesen, man habe sich aber sofort dazu entschieden, durch eine transparente Kommunikation und Verbesserung der IT-Sicherheit das Vertrauen der Nutzer zurückgewinnen zu wollen. Die Plattform sei nun sicherer denn je, äußerte er gegenüber dem Nachrichtendienst dpa.