Erste DSGVO-Buße in Deutschland: Knuddels muss 20.000 Euro zahlen
30/11/18 13:50
Ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurde nun das erste deutsche Unternehmen wegen eines Verstoßes gegen die DSGVO zur Kasse gebeten. Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg, verhängte gegen das Online-Chatportal „Knuddels“ ein Bußgeld in Höhe von 20.000 Euro.
Vielfach wurde in den letzten Tagen in Kommentaren darauf verwiesen, dass das Schwert der DSGVO möglicherweise gar nicht so scharf sei, wie es noch vor einigen Wochen erschien. Immerhin sieht die DSGVO Bußgelder von bis zu vier Prozent des Umsatzes des vorangegangenen Geschäftsjahres oder 20 Mio. Euro vor.
Die Höhe der von vielen Beobachtern als „verhältnismäßig niedrig“ eingeordneten Strafe begründet die Behörde mit der guten Kooperation und berücksichtigte zudem, dass das Unternehmen durch den Hackerangriff selbst erhebliche Nachteile erlitten habe. Außerdem habe sich Knuddels nach Bekanntwerden der Hackerattacke um Transparenz bemüht und somit dazu beigetragen, die Umstände des Angriffs schnell und vollständig aufzuklären. Zudem habe das Unternehmen keine wirtschaftlichen Vorteile gezogen und es habe in der Vergangenheit nie Gründe zur Beanstandung der Datensicherheit gegeben.
Aber schauen wir uns die Sachlage doch erst einmal genauer an:
Im Juli dieses Jahres war Knuddels Opfer eines Hackerangriffs geworden. Die Hacker hatten die Daten erbeuten können, weil das Unternehmen die Passwörter seiner Kunden im Klartext d.h. unverschlüsselt und nicht verfremdet (kryptographisch gehasht) auf seinem Unternehmensserver gespeichert hatte (siehe ausführlich die Pressemeldung des LfDI) .
Nach diesem Hackerangriff machte das Unternehmen bei dem LfDI die nach Art. 33 DSGVO notwendige Meldung.
Unbestätigten Medienberichte zufolge landeten mehr als 1 Millionen Nicknames und mehr als 300.000 E-Mail-Adressen samt Passwörtern Anfang September 2018 auf einer Filesharing-Website.
Durch die Speicherung der personenbezogenen Daten im Klartext verstieß das Unternehmen gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 Buchstabe a DSGVO.
Die Frage, die sich nun stellt, ist: Ist die ausgesprochene Geldbuße in diesem konkreten Fall tatsächlich so gering, wie sie dargestellt wird oder ist sie vielmehr wirksam, verhältnismäßig und abschreckend und entspricht den Anforderungen des Art. 83 DSGVO?
Nach Angaben des LfDI kooperierte das Unternehmen umfassend mit der Behörde. Knuddels „legte in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen“. „Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen.“
Diesen Zitaten kann man entnehmen, dass das verantwortliche Unternehmen im speziellen Fall vorschriftsmäßig einen Vorfall-Prozess eingeleitet (sofortige Meldung) und auch eingehalten (Transparenz, Aufarbeitung, Kooperation, etc.) hat, was natürlich bei der Bußgeld-Bemessung im Sinne des Art. 83 Absatz 2 Buchstabe f DSGVO berücksichtigt werden muss. Zudem ist der Verlautbarung des LfDI zu entnehmen, dass das Unternehmen im Zuge der in Abstimmung mit dem LfDI vorgenommenen Maßnahmen zur Verbesserung der IT-Sicherheit einen sechsstelligen Gesamtbetrag aufgewendet hat.
Fassen wir also zusammen: Das Unternehmen hat nach dem Vorfall (Nichteinhalten eines Sicherheitsstandards) vorschriftsmäßig gehandelt, es hat die Anregungen des LfDI umgesetzt und dafür einen sechsstelligen Betrag investiert, es sind keine Schäden bei den Nutzern eingetreten, sehr wohl aber erhebliche Nachteile bei dem Unternehmen selbst und trotzdem erhält das Unternehmen ein Bußgeld in Höhe von 20.000 Euro.
Auf der Ausgabenseite kommen zudem noch die Rechtsanwaltskosten des Unternehmens hinzu.
Vor diesem Hintergrund wirkt das ausgesprochene Bußgeld nicht mehr gar so klein, wie in manchen Schlagzeilen („Knuddels kommt gut davon“) angedeutet.
Was kann man aus diesem Fall lernen?
1. Jedes Unternehmen sollte datenschutzkonform arbeiten, insbesondere die Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 Buchstabe a DSGVO Ernst nehmen und mindestens nach dem aktuellen Stand der Technik arbeiten.
2. Jedes Unternehmen sollte einen Vorfall-Prozess einführen, der ggf. unter Zuhilfenahme externer Rechtsanwälte ohne schuldhaftes Zögern und in voller Kooperation mit der Aufsichtsbehörde eingehalten wird.
3. Jedes Unternehmen sollte es unter allen Umständen vermeiden, eine „Portokassen-Strategie“ oder eine „Strategie der sukzessiven Kooperation“ zu fahren, da diese von der Behörde im Zuge der Ermittlung der Bußgeldhöhe strafverschärfend gemäß Art. 83 DSGVO in Ansatz gebracht werden wird. Zudem sich die Bußgeldhöhe ja gerade auch nach dem Unternehmensumsatz bemisst.
Eine Kooperation mit Datenschutzbehörden nach einem Datenschutzvorfall dergestalt wie sie etwa von manchen Automobilhersteller bei dem Emissionswerte-Skandal gegenüber den zuständigen Ämtern an den Tag gelegt wurde, würde sicherlich in den oberen Bereich der möglichen Bußgeldhöhen führen.
Vielfach wurde in den letzten Tagen in Kommentaren darauf verwiesen, dass das Schwert der DSGVO möglicherweise gar nicht so scharf sei, wie es noch vor einigen Wochen erschien. Immerhin sieht die DSGVO Bußgelder von bis zu vier Prozent des Umsatzes des vorangegangenen Geschäftsjahres oder 20 Mio. Euro vor.
Die Höhe der von vielen Beobachtern als „verhältnismäßig niedrig“ eingeordneten Strafe begründet die Behörde mit der guten Kooperation und berücksichtigte zudem, dass das Unternehmen durch den Hackerangriff selbst erhebliche Nachteile erlitten habe. Außerdem habe sich Knuddels nach Bekanntwerden der Hackerattacke um Transparenz bemüht und somit dazu beigetragen, die Umstände des Angriffs schnell und vollständig aufzuklären. Zudem habe das Unternehmen keine wirtschaftlichen Vorteile gezogen und es habe in der Vergangenheit nie Gründe zur Beanstandung der Datensicherheit gegeben.
Aber schauen wir uns die Sachlage doch erst einmal genauer an:
Im Juli dieses Jahres war Knuddels Opfer eines Hackerangriffs geworden. Die Hacker hatten die Daten erbeuten können, weil das Unternehmen die Passwörter seiner Kunden im Klartext d.h. unverschlüsselt und nicht verfremdet (kryptographisch gehasht) auf seinem Unternehmensserver gespeichert hatte (siehe ausführlich die Pressemeldung des LfDI) .
Nach diesem Hackerangriff machte das Unternehmen bei dem LfDI die nach Art. 33 DSGVO notwendige Meldung.
Unbestätigten Medienberichte zufolge landeten mehr als 1 Millionen Nicknames und mehr als 300.000 E-Mail-Adressen samt Passwörtern Anfang September 2018 auf einer Filesharing-Website.
Durch die Speicherung der personenbezogenen Daten im Klartext verstieß das Unternehmen gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 Buchstabe a DSGVO.
Die Frage, die sich nun stellt, ist: Ist die ausgesprochene Geldbuße in diesem konkreten Fall tatsächlich so gering, wie sie dargestellt wird oder ist sie vielmehr wirksam, verhältnismäßig und abschreckend und entspricht den Anforderungen des Art. 83 DSGVO?
Nach Angaben des LfDI kooperierte das Unternehmen umfassend mit der Behörde. Knuddels „legte in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen“. „Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen.“
Diesen Zitaten kann man entnehmen, dass das verantwortliche Unternehmen im speziellen Fall vorschriftsmäßig einen Vorfall-Prozess eingeleitet (sofortige Meldung) und auch eingehalten (Transparenz, Aufarbeitung, Kooperation, etc.) hat, was natürlich bei der Bußgeld-Bemessung im Sinne des Art. 83 Absatz 2 Buchstabe f DSGVO berücksichtigt werden muss. Zudem ist der Verlautbarung des LfDI zu entnehmen, dass das Unternehmen im Zuge der in Abstimmung mit dem LfDI vorgenommenen Maßnahmen zur Verbesserung der IT-Sicherheit einen sechsstelligen Gesamtbetrag aufgewendet hat.
Fassen wir also zusammen: Das Unternehmen hat nach dem Vorfall (Nichteinhalten eines Sicherheitsstandards) vorschriftsmäßig gehandelt, es hat die Anregungen des LfDI umgesetzt und dafür einen sechsstelligen Betrag investiert, es sind keine Schäden bei den Nutzern eingetreten, sehr wohl aber erhebliche Nachteile bei dem Unternehmen selbst und trotzdem erhält das Unternehmen ein Bußgeld in Höhe von 20.000 Euro.
Auf der Ausgabenseite kommen zudem noch die Rechtsanwaltskosten des Unternehmens hinzu.
Vor diesem Hintergrund wirkt das ausgesprochene Bußgeld nicht mehr gar so klein, wie in manchen Schlagzeilen („Knuddels kommt gut davon“) angedeutet.
Was kann man aus diesem Fall lernen?
1. Jedes Unternehmen sollte datenschutzkonform arbeiten, insbesondere die Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 Buchstabe a DSGVO Ernst nehmen und mindestens nach dem aktuellen Stand der Technik arbeiten.
2. Jedes Unternehmen sollte einen Vorfall-Prozess einführen, der ggf. unter Zuhilfenahme externer Rechtsanwälte ohne schuldhaftes Zögern und in voller Kooperation mit der Aufsichtsbehörde eingehalten wird.
3. Jedes Unternehmen sollte es unter allen Umständen vermeiden, eine „Portokassen-Strategie“ oder eine „Strategie der sukzessiven Kooperation“ zu fahren, da diese von der Behörde im Zuge der Ermittlung der Bußgeldhöhe strafverschärfend gemäß Art. 83 DSGVO in Ansatz gebracht werden wird. Zudem sich die Bußgeldhöhe ja gerade auch nach dem Unternehmensumsatz bemisst.
Eine Kooperation mit Datenschutzbehörden nach einem Datenschutzvorfall dergestalt wie sie etwa von manchen Automobilhersteller bei dem Emissionswerte-Skandal gegenüber den zuständigen Ämtern an den Tag gelegt wurde, würde sicherlich in den oberen Bereich der möglichen Bußgeldhöhen führen.