Verstoß gegen Datenschutz – Knuddels muss 20.000 Euro Bußgeld zahlen

Durch einen Hackerangriff im Juli 2018 wurden personenbezogene Daten entwendet und Anfang September 2018 veröffentlicht. Dem Unternehmen zufolge handelte es sich um 808.000 E-Mail-Adressen, 1.872.000 Pseudonyme sowie den entsprechenden Passwörtern. Die Nutzer des sozialen Netzwerks wurden unverzüglich und umfassend über den Hackerangriff informiert. Im Nachgang wurde bekannt, dass das Unternehmen die Passwörter ihrer Nutzer unverschlüsselt und nicht verfremdet („gehasht“) gespeichert hatte. Dadurch verstieß das baden-württembergische Unternehmen bewusst gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DSGVO.

Die DSGVO sieht für solche Verstöße gemäß Art. 83 DSGVO Geldbußen im zweistelligen Millionenbereich oder bis zu 2 bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens vor. Durch die sehr gute Kooperation mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI), insbesondere die Transparenz über Fehler und die Bereitschaft, die Vorgaben und Empfehlungen des LfDI umzusetzen, musste dieser Rahmen nicht einmal ansatzweise ausgenutzt werden, sondern mündete in einem Bußgeld in Höhe von 20.000 Euro. Hierbei wurden zudem die finanziellen Belastungen für die Verbesserung der IT-Sicherheit in der Festsetzung des Bußgeldes berücksichtigt.

Der Datenschutzbeauftrage Dr. Stefan Brink betonte abschließend, „wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen.“