Die Bußgeldstelle des Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg hat mit Bescheid vom 21.11.2018 gegen einen Social-Media-Anbieter eine Geldbuße in Höhe von 20.000,00 € verhängt. Damit ist ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) das erste Unternehmen wegen eines Verstoßes zur Kasse gebeten worden.
Das betroffene Unternehmen hatte sich im September 2018 mit einer Datenpannenmeldung selbst an den Landesdatenschutzbeauftragten gewandt. Zuvor hatte es bemerkt, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 im Internet veröffentlicht worden waren. Im Rahmen der Meldung durch das Unternehmen wurde bekannt, dass das Unternehmen die Passwörter seiner Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte.
Durch die Speicherung der Passwörter im Klartext hatte das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 lit a) DSGVO verstoßen.
Dennoch setzte der LfDI innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DSGVO – nämlich bis zu 10.000.000,00 € oder 2 % seines gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist! – „nur“ ein Bußgeld in Höhe von 20.000,00 € fest. Dies fand seine Ursache im Wesentlichen darin, dass das Unternehmen nach Bekanntwerden der Datenpanne sehr gut mit dem LfDI kooperiert hatte. Nach den Worten des LfDI war die Transparenz des Unternehmens ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des LfDI umzusetzen.
Datenschutzverstöße werden von den Behörden verfolgt und geahndet
Unternehmer können aus diesem Vorfall zum einen mitnehmen, dass Datenschutzverstöße von den Behörden durchaus effektiv verfolgt und geahndet werden. Es ist daher mit einem erhöhten Druck der Behörden zur Umsetzung der Vorschriften der DSGVO zu rechnen.
Wie sich aber zugleich zeigt, handeln die Behörden dabei durchaus mit Augenmaß. Sie berücksichtigen in diesem Zuge auch finanzielle Belastungen, die mit der Rechtsverletzung, der Beseitigung von deren Folgen und der Vermeidung zukünftiger Verstöße einhergehen. Tritt eine Datenschutzpanne auf, kann daher jedem Unternehmer nur geraten werden, aktiv zu werden. Durch Transparenz und Aufklärungsbemühungen kann der Ordnungsbehörde signalisiert werden, dass man nicht nur zur Schadenswiedergutmachung bereit und in der Lage ist, sondern auch, die Technik auf den neuesten Stand zu bringen. Dies wird im Rahmen der Bußgeldbemessung dann zu berücksichtigen sein. Sie benötigen Unterstützung bei der Umsetzung der Vorschriften der DSGVO? Warten Sie nicht erst auf einen Bußgeldbescheid!
Rufen Sie uns an oder schicken Sie uns eine E-Mail. Wir helfen Ihnen gern!
für die Rechtsanwaltskanzlei
Wulf & Collegen
Lars Hänig
Rechtsanwalt