bußgeld ermittlungen staatsanwaltschaft herausgabe

Erstes Bußgeld für Datenschutzverstoß nach DSGVO in Deutschland

/von

Es ist soweit: nachdem bereits vor Kurzem das erste Bußgeld nach DSGVO überhaupt verhängt wurde (wir berichteten hier), haben wir nun das erste Bußgeld nach DSGVO in Deutschland.

And the winner is…

Getroffen hat es das soziale Netzwerk knuddels.de, bei dem Anfang September bekannt wurde, dass über ein Datenleck eine 7-stellige Anzahl an Nutzer-Passworten öffentlich wurden. Die Höhe des Bußgelds beträgt € 20.000; hierzu später noch mehr.

Die Aufsicht lobt

Die zuständige Aufsichtsbehörde berichtet, dass die Kooperation des Portals vorbildlich gewesen sei. Neben der Meldung der Datenpanne an die Behörde hatte knuddels.de auch die Nutzer „unverzüglich und umfassend“ informiert. Es seien innerhalb kurzer Zeit notwendige Maßnahmen getroffen worden, um die Sicherheit der Server zu verbessern. Die Aufsichtsbehörde sei in diese Verbesserung einbezogen worden.

Wie konnte die Panne passieren?

Das Problem war, dass knuddels.de die Zugangsdaten offenbar nicht als Hashwert in der Datenbank abgespeichert hatte. Jeder, der Zugriff auf die entsprechende Datenbank erlangen konnte, hatte also die Zugangsdaten im Klartext vorliegen. Diese Art der Speicherung ist bereits seit Jahren nicht mehr Stand der Technik. Dieser Umstand dürfte auch einer der Hauptgründe sein, dass überhaupt ein Bußgeld verhängt wurde. Technische Mittel, um dies besser und sicherer zu lösen stehen seit Jahren zum Teil als kostenlose Open Source Bibliotheken zur Verfügung. Diese nicht einzusetzen ist unseres Erachtens tatsächlich grob fahrlässig.

Woran bemisst sich die Höhe des Bußgelds?

Die € 20.000 erscheinen im Vergleich zu dem Bußgeld, welches in Portugal verhängt worden war, eher gering. Dies dürfte zum einen daran liegen, dass das Unternehmen sich kooperativ gezeigt hat. Zum anderen wird knuddels.de nach Angabe der Behörde Investitionen im 6-stelligen Euro-Bereich tätigen, um die IT-Sicherheit weiter deutlich zu erhöhen. Es kann davon ausgegangen werden, dass diese Tatsachen (insbesondere die Kosten) in die Bemessung des Bußgelds eingeflossen sind. Die Bußgelder sollen nach Art. 83 Abs. 1 DSGVO „wirksam, verhältnismäßig und abschreckend“ sein. Insbesondere dürfte hier das Kriterium der Verhältnismäßigkeit die Höhe des Bußgeldes stark beeinflusst haben.

Warum überhaupt ein Bußgeld?

Die Frage ist, warum überhaupt ein Bußgeld verhängt wurde. Schließlich regelt § 43 Abs. 4 BDSG, dass eine Meldung nach Art. 33 DSGVO oder eine Benachrichtigung nach Art. 34 DSGVO in einem Ordnungswidrigkeitsverfahren gegen den Meldepflichtigen oder Benachrichtigenden nur mit dessen Zustimmung verwendet werden darf. Hintergrund ist das verfassungsrechtliche Verbot des Zwangs zur Selbstbezichtigung. Somit ist anzunehmen, dass der Verstoß der Aufsichtsbehörde entweder ohne eine Meldung von knuddels.de bekannt wurde, oder dass die Meldung die Anforderungen des Art. 33 DSGVO nicht vollständig erfüllte (bzw. die Meldung nicht vollumfänglich war), so dass der Behörde durch weitere Ermittlungen weitere Informationen oder Verstöße bekannt wurden. Da die offiziellen Informationen hierzu keine Hinweise enthalten, bewegen wir uns hier aber im Bereich der Spekulationen.

Feststeht, dass ein Verstoß gegen Art. 32 DSGVO vorlag und das Bußgeld, sofern es verhängt werden musste, die Kriterien wirksam, abschreckend und verhältnismäßig zu erfüllen hatte. Mit € 20.000 dürfte die Aufsichtsbehörde hier ein recht gutes Fingerspitzengefühl bewiesen haben.

Lessons learned

Was lernen wir nun aus diesem ersten Bußgeld? Nun ja – zum einen wir haben gelernt, dass die Aufsichtsbehörden nun beginnen, tatsächlich Bußgelder zu verhängen. Zum anderen haben wir gelernt, dass auch eine Meldung nach Art. 33 DSGVO nicht zwingend vor einem Bußgeld schützt, obwohl § 43 BDSG eine entsprechende Regelung enthält.

An dieser Stelle möchten wir auch noch einmal darauf hinweisen, dass für Sicherheitsmaßnahmen, die nicht dem Stand der Technik entsprechen oder sonst ungenügend sind, zwar nach Art. 83 Abs. 4 lit. a DSGVO nur das „niedrige“ Bußgeld zur Anwendung kommt, für dieses aber auch bereits ein Rahmen von bis zu € 10.000.000 (oder 2% des weltweiten Vorjahres-Brutto-Konzernumsatzes) festgelegt ist. Es ist also durchaus empfehlenswert, bei meldepflichtigen Vorfällen kooperativ, ehrlich und vor allem bemüht zu sein, tatsächlich eine Verbesserung der Situation herzustellen. Und es ist ausgesprochen wichtig, dass die gegebenenfalls abzugebende Meldung die Anforderungen des Art. 33 Abs. 3 DSGVO vollständig erfüllt. Die Einbeziehung des Datenschutzbeauftragten ist in solchen Fällen unerlässlich.

Stellen Sie Ihre technischen Maßnahmen zur Datensicherheit regelmäßig auf den Prüfstand! Gerne unterstützen wir Sie dabei.

Das könnte Sie auch interessieren
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inVerhandlungen zur DSGVO abgeschlossen
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inSchon wieder Brexit – Angemessenheitsbeschluss für UK naht
scc p2p standardvertragsklauseln neu bgb 273 zahlen mit datenSerie zu den neuen Standardvertragsklauseln – Teil 3: Datenübermittlung zwischen Auftragsverarbeitern (P2P)
test echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepageInformationspflichten nach der DSGVO
aufsichtsbehörde bußgeld eprivacy verordnung epvo schadensersatzDie ePrivacy-Verordnung – alles zurück auf Anfang!
scc p2p standardvertragsklauseln neu bgb 273 zahlen mit datenGesetzesänderung – Daten sind nun ganz offiziell ein Zahlungsmittel!
DSGVO Datenschutzprüfung in Bayern und Niedersachenaufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawas kontrollpflicht auftragsverarbeitung awareness awarenesskampagnends-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoErhebung personenbezogener Daten