23.11.2018 LfDI Baden-Württemberg verhängt erstes Bußgeld in Höhe von 20.000.- EUR nach der DSGVO
Keine sechs Monate hat es gedauert bis das erste Bußgeld verhängt wurde. Ein Social-Media-Anbieter hatte sich am 08.09.2018 mit einer Datenpannenmeldung an den LfDI gewandt und diesen über einen Hackerangriff informiert. Lt. Pressmitteilung des LfDI (https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/) fand der Angriff bereits im Juli 2018 statt, wurde jedoch erst entdeckt, als die entwendeten Daten im September veröffentlicht wurden. Ca. 330.000 Nutzer waren durch den Hackerangriff betroffen. Neben den E-Mail-Adressen wurden auch die Passwörter entwendet.
Nach Meldung der Datenpanne fand lt. LfDI eine sehr gute und konstruktive Zusammenarbeit mit dem Unternehmen statt und es konnten umfangreiche Verbesserungen hinsichtlich der Sicherheit der Nutzerdaten erzielt werden.
Im konkreten Fall hatte das Unternehmen die Passwörter der Nutzer im Klartext gespeichert. D.h. ohne diese zu verschlüsseln. Durch die ungesicherte Speicherung der Passwörter verstieß das Unternehmen wissentlich gegen die Pflicht zu Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.
Wie die Aufsichtsbehörde klarstellte, ging es bei der Höhe des Bußgeldes sicherlich nicht darum in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Viel wichtiger sei es, aus dem Schaden zu lernen, den Datenschutz maßgeblich zu verbessern und vor allem betroffene Nutzer zu schützen.
Die gute Zusammenarbeit des Unternehmens mit dem LfDI, aber auch die finanziellen Aufwendungen zur Erhöhung der IT-Sicherheit durch das Unternehmen wurden bei der Höhe des Bußgeldes berücksichtigt.
Fazit:
Sollte Ihr Unternehmen selbst durch eine entsprechende Datenpanne betroffen sein wenden Sie sich bitte umgehend an die zuständige Aufsichtsbehörde für Datenschutz. Eine schnelle und umfangreiche Kooperation mit den Behörden kann weitere Schäden verhindern und wirkt sich – wie der aktuelle Fall zeigt – durchaus auf die Höhe des Bußgeldes aus.
Die komplette Pressemitteilung des LfDI lesen sie hier:
DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT PRESSEMITTEILUNG 22. November 2018
LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO - Kooperation mit Aufsicht macht es glimpflich
Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und - in konstruktiver Zusammenarbeit mit dem Unternehmen - für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt. Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen. - 2 - Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen. Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO. Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen. „Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“
Bei Rückfragen erreichen Sie uns unter der Telefonnummer 0711/615541-0. Weitere Informationen zum Datenschutz finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de. Die Pressemitteilung ist im Internet abrufbar unter http://www.badenwuerttemberg.datenschutz.de.