LfDI Baden-Würt­tem­berg ver­hängt ers­tes Bußgeld

Bussgeld

23.11.2018 LfDI Baden-Würt­tem­berg ver­hängt ers­tes Buß­geld  in Höhe von 20.000.- EUR nach der DSGVO

Kei­ne sechs Mona­te hat es gedau­ert bis das ers­te Buß­geld ver­hängt wur­de. Ein Social-Media-Anbie­ter hat­te sich am 08.09.2018 mit einer Daten­pan­nen­mel­dung an den LfDI gewandt und die­sen über einen Hacker­an­griff infor­miert. Lt. Press­mit­tei­lung des LfDI (https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/) fand der Angriff bereits im Juli 2018 statt, wur­de jedoch erst ent­deckt, als die ent­wen­de­ten Daten im Sep­tem­ber ver­öf­fent­licht wur­den. Ca. 330.000 Nut­zer waren durch den Hacker­an­griff betrof­fen. Neben den E-Mail-Adres­sen wur­den auch die Pass­wör­ter entwendet.

Nach Mel­dung der Daten­pan­ne fand lt. LfDI eine sehr gute und kon­struk­ti­ve Zusam­men­ar­beit mit dem Unter­neh­men statt und es konn­ten umfang­rei­che Ver­bes­se­run­gen hin­sicht­lich der Sicher­heit der Nut­zer­da­ten erzielt werden.

Im kon­kre­ten Fall hat­te das Unter­neh­men die Pass­wör­ter der Nut­zer im Klar­text gespei­chert. D.h. ohne die­se zu ver­schlüs­seln. Durch die unge­si­cher­te Spei­che­rung der Pass­wör­ter ver­stieß das Unter­neh­men wis­sent­lich gegen die Pflicht zu Gewähr­leis­tung der Daten­si­cher­heit bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Wie die Auf­sichts­be­hör­de klar­stell­te, ging es bei der Höhe des Buß­gel­des sicher­lich nicht dar­um in einen Wett­be­werb um mög­lichst hohe Buß­gel­der ein­zu­tre­ten. Viel wich­ti­ger sei es, aus dem Scha­den zu ler­nen, den Daten­schutz maß­geb­lich zu ver­bes­sern und vor allem betrof­fe­ne Nut­zer zu schützen.

Die gute Zusam­men­ar­beit des Unter­neh­mens mit dem LfDI, aber auch die finan­zi­el­len Auf­wen­dun­gen zur Erhö­hung der IT-Sicher­heit durch das Unter­neh­men wur­den bei der Höhe des Buß­gel­des berücksichtigt.

Fazit:

Soll­te Ihr Unter­neh­men selbst durch eine ent­spre­chen­de Daten­pan­ne betrof­fen sein wen­den Sie sich bit­te umge­hend an die zustän­di­ge Auf­sichts­be­hör­de für Daten­schutz. Eine schnel­le und umfang­rei­che Koope­ra­ti­on mit den Behör­den kann wei­te­re Schä­den ver­hin­dern und wirkt sich – wie der aktu­el­le Fall zeigt – durch­aus auf die Höhe des Buß­gel­des aus.

Wenn Sie Fra­gen haben, spre­chen Sie uns an. Ger­ne bespre­chen wir Ihre Situa­ti­on in einem unver­bind­li­chen Info-Gespräch.


Die kom­plet­te Pres­se­mit­tei­lung des LfDI lesen sie hier:

DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT PRESSEMITTEILUNG 22. Novem­ber 2018

LfDI Baden-Würt­tem­berg ver­hängt sein ers­tes Buß­geld in Deutsch­land nach der DS-GVO - Koope­ra­ti­on mit Auf­sicht macht es glimpflich

Wegen eines Ver­sto­ßes gegen die nach Art. 32 DS-GVO vor­ge­schrie­be­ne Daten­si­cher­heit hat die Buß­geld­stel­le des LfDI Baden-Würt­tem­berg mit Bescheid vom 21.11.2018 gegen einen baden-würt­tem­ber­gi­schen Social-Media-Anbie­ter eine Geld­bu­ße von 20.000,- Euro ver­hängt und - in kon­struk­ti­ver Zusam­men­ar­beit mit dem Unter­neh­men - für umfang­rei­che Ver­bes­se­run­gen bei der Sicher­heit der Nut­zer­da­ten gesorgt. Das Unter­neh­men hat­te sich am 08. Sep­tem­ber 2018 mit einer Daten­pan­nen­mel­dung an den LfDI gewandt, nach­dem es bemerkt hat­te, dass durch einen Hacker­an­griff im Juli 2018 per­so­nen­be­zo­ge­ne Daten von cir­ca 330.000 Nut­zern, dar­un­ter Pass­wör­ter und E-Mail-Adres­sen, ent­wen­det und Anfang Sep­tem­ber 2018 ver­öf­fent­licht wor­den waren. Ihre Nut­zer infor­mier­te das Unter­neh­men nach den Vor­ga­ben der EU-Daten­schutz­grund­ver­ord­nung (DS-GVO) unver­züg­lich und umfas­send über den Hacker­an­griff. Gegen­über dem LfDI leg­te das Unter­neh­men in vor­bild­li­cher Wei­se sowohl Daten­ver­ar­bei­tungs- und Unter­neh­mens­struk­tu­ren als auch eige­ne Ver­säum­nis­se offen. Hier­durch wur­de dem LfDI bekannt, dass das Unter­neh­men die Pass­wör­ter ihrer Nut­zer im Klar­text, mit­hin unver­schlüs­selt und unver­frem­det (unge­hasht), gespei­chert hat­te. Die­se Klar­text­pass­wör­ter nutz­te das Unter­neh­men beim Ein­satz eines sog. „Pass­wort­fil­ters“ zur Ver­hin­de­rung der Über­mitt­lung von Nut­zer­pass­wör­tern an unbe­rech­tig­te Drit­te mit dem Ziel, die Nut­zer bes­ser zu schüt­zen. - 2 - Das Unter­neh­men setz­te inner­halb weni­ger Wochen weit­rei­chen­de Maß­nah­men zur Ver­bes­se­rung ihrer IT-Sicher­heits­ar­chi­tek­tur um und brach­te damit die Siche­rung ihrer Nut­zer­da­ten auf den aktu­el­len Stand der Tech­nik. Zudem wird das Unter­neh­men inner­halb der nächs­ten Wochen in Abstim­mung mit dem LfDI zusätz­li­che Maß­nah­men zur wei­te­ren Ver­bes­se­rung der Daten­si­cher­heit durch­füh­ren. Durch die Spei­che­rung der Pass­wör­ter im Klar­text ver­stieß das Unter­neh­men wis­sent­lich gegen sei­ne Pflicht zur Gewähr­leis­tung der Daten­si­cher­heit bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gem. Art. 32 Abs. 1 lit a DS-GVO. Inner­halb des Buß­geld­rah­mens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Koope­ra­ti­on mit dem LfDI in beson­de­rem Maße zu Guns­ten des Unter­neh­mens. Die Trans­pa­renz des Unter­neh­mens war eben­so bei­spiel­haft wie die Bereit­schaft, die Vor­ga­ben und Emp­feh­lun­gen des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit, Dr. Ste­fan Brink, umzu­set­zen. Auf die­se Wei­se konn­te in sehr kur­zer Zeit die Sicher­heit der Nut­zer­da­ten des Social-Media-Diens­tes deut­lich ver­bes­sert wer­den. In Abstim­mung mit dem LfDI wird die Siche­rung der Nut­zer­da­ten in den kom­men­den Wochen noch wei­ter aus­ge­baut. Bei der Bemes­sung der Geld­bu­ße wur­de neben wei­te­ren Umstän­den die finan­zi­el­le Gesamt­be­las­tung für das Unter­neh­men berück­sich­tigt. Buß­gel­der sol­len nach der DS-GVO nicht nur wirk­sam und abschre­ckend, son­dern auch ver­hält­nis­mä­ßig sein. Unter Ein­be­zie­hung der auf­ge­wen­de­ten und avi­sier­ten Maß­nah­men für IT-Sicher­heit hat das Unter­neh­men ein­schließ­lich der Geld­bu­ße infol­ge des Ver­sto­ßes einen Gesamt­be­trag im sechs­stel­li­gen Euro-Bereich zu tra­gen. „Wer aus Scha­den lernt und trans­pa­rent an der Ver­bes­se­rung des Daten­schut­zes mit­wirkt, kann auch als Unter­neh­men aus einem Hacker­an­griff gestärkt her­vor­ge­hen“, beton­te Dr. Brink abschlie­ßend. „Als Buß­geld­be­hör­de kommt es dem LfDI nicht dar­auf an, in einen Wett­be­werb um mög­lichst hohe Buß­gel­der ein­zu­tre­ten. Am Ende zählt die Ver­bes­se­rung von Daten­schutz und Daten­si­cher­heit für die betrof­fe­nen Nutzer.“

Bei Rück­fra­gen errei­chen Sie uns unter der Tele­fon­num­mer 0711/615541-0. Wei­te­re Infor­ma­tio­nen zum Daten­schutz fin­den Sie im Inter­net unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de. Die Pres­se­mit­tei­lung ist im Inter­net abruf­bar unter http://www.badenwuerttemberg.datenschutz.de.