Hintergrund
Mit Bescheid vom 21.11.2018 verhängte die Bußgeldstelle des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) gegen das Chatportal „Kunddels“ das erste Bußgeld seit Einführung der Datenschutz-Grundverordnung (DSGVO).
Nachdem das Unternehmen bemerkt hatte, dass es Opfer eines Hackerangriffs geworden ist, meldete es sich am 08. September 2018 beim LfDI und gab an, dass personenbezogene Daten von 330.000 Nutzern, darunter Nicknames, Passwörter und E-Mail-Adressen entwendet und auf einer Filesharing-Website veröffentlicht wurden.
Im Nachhinein stellte sich heraus, dass das Unternehmen versäumt hatte die neueste Version des Betriebssystems aufzuspielen und die Passwörter seiner Nutzer im Klartext, mithin unverschlüsselt und unverfremdet gespeichert hatte.
Bewertung
Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit. a DSGVO, wonach eine Verschlüsselung und Pseudonymisierung erfolgen muss.
Aufgrund des Verstoßes verhängte die Bußgeldstelle des LfDI gem. art. 83 Abs. 4 lit. a DSGVO ein Bußgeld in Höhe von 20.000 €. Bei der Bemessung der Geldbuße wurde die kooperative Mitwirkung und die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt.
. Grundsätzlich ist bei Verstößen gegen die DSGVO nach Art. 83 Abs. IV DSGVO mit einer Geldbuße bis zu 10.000.000 € zu rechnen. Da das Unternehmen seiner Meldepflicht vorbildlich nachkam, diverse Verbesserungen der IT-Sicherheitsarchitektur vornahm und insgesamt sehr kooperativ mit dem LfDI zusammenarbeitete, fiel das Bußgeld deutlich geringer aus.
Eine Zusammenarbeit mit dem LfDI kann sich also für Unternehmen, die gegen die DSGVO verstoßen haben lohnen.