12. Dezember 2018
DSGVO Bußgeld Deutschland
Datenschutzrecht

Erstes Bußgeld unter Geltung der DSGVO in Deutschland

Die baden-württembergische Aufsichtsbehörde hat das erste Bußgeld in Höhe von EUR 20.000 unter der Geltung der DSGVO in Deutschland verhängt.

Ein soziales Netzwerk aus Deutschland muss für einen Verstoß gegen die Datenschutzvorschriften der DSGVO 20.000 Euro Bußgeld zahlen. Mit Bescheid vom 21. November 2018 verhängte der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg ein Bußgeld wegen der unverschlüsselten Speicherung von Passwörtern gegen den Betreiber des sozialen Netzwerks. Es handelt sich hierbei um das erste von einer deutschen Aufsichtsbehörde verhängte Bußgeld unter Geltung der DSGVO.

Datenschutzverstoß wegen Speicherung von Passwörtern im Klartext

Aufgrund eines Hackerangriffs waren E-Mail-Adressen und Pseudonyme sowie Passwörter von ca. 330.000 Nutzern der Plattform publik geworden. Teilweise waren die vom Nutzer angegebene Stadt sowie deren Klarnamen im Netz sichtbar. Insgesamt hat das seit 1999 bestehende Netzwerk ca. 2,5 Millionen registrierte Nutzer.

Seit einigen Jahren hat der Betreiber sämtliche Passwörter zwar als „Hash″ gespeichert, zusätzlich blieben die Passwörter allerdings im Klartext für einen sogenannten „Passwortfilter″ erhalten. Der Filter sollte die Übermittlung von Nutzerpasswörtern an Dritte verhindern. Durch die Speicherung der Passwörter im Klartext verstieß der Betreiber gegen die Pflicht aus Artikel 32 Abs. 1 Buchst. a) DSGVO, der die jeweilige datenverarbeitende Stelle verpflichtet, die von ihr verarbeiteten personenbezogenen Daten nur pseudonymisiert oder verschlüsselt zu speichern.

Datenschutzbehörde verweist auf Verhältnismäßigkeit der Bußgelder

Das verhängte Bußgeld scheint gering auszufallen, wenn man den für diesen Verstoß einschlägigen Artikel 83 Abs. 4 DSGVO betrachtet. Möglich sind danach Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweit erzielten Jahresumsatzes. Tatsächlich sollen die Bußgelder gemäß Art. 83 DSGVO zwar wirksam und abschreckend, aber eben auch verhältnismäßig sein.

Gerade die Verhältnismäßigkeit hob der Landesbeauftragte bei der Begründung der Höhe des Bußgelds besonders hervor. Die Höhe des Bußgelds bemisst sich gemäß Art. 83 Abs. 2 DSGVO neben der Schwere des Verstoßes auch nach dem Grad der Zusammenarbeit mit den Aufsichtsbehörden und nach der Art und Weise des Bekanntwerdens des Verstoßes bei der Behörde. Insofern lobte der Landesbeauftragte den Betreiber des sozialen Netzwerks für die eigene und zeitnahe Meldung des Verstoßes an die Aufsichtsbehörde sowie dessen kooperative Zusammenarbeit bei der Aufklärung des Verstoßes. Der Betreiber hatte sowohl die Datenverarbeitungs- als auch die Unternehmensstrukturen offengelegt. Ebenso positiv bewertete der Landesbeauftragte die unverzügliche Information der Nutzer des Netzwerks über die Datenpanne.

Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen,

heißt es in der offiziellen Pressemeldung der baden-württembergischen Aufsichtsbehörde. Das Bußgeld betrug zwar „nur″ 20.000 Euro, allerdings hat das Netzwerk darüber hinaus die weiteren Kosten für die Verbesserung seiner IT-Sicherheit zu tragen. Insgesamt beläuft sich dieser Betrag nach Auskunft der Aufsichtsbehörde auf eine Höhe im sechsstelligen Bereich.

Neben diesen vom Unternehmen zu beeinflussenden Faktoren sind nach Artikel 83 Abs. 2 DSGVO unter anderem die Art und Schwere des Verstoßes, die Art der betroffenen Datenkategorie sowie möglicherweise durch den Verstoß erlangte finanzielle Vorteile zu berücksichtigen. Weiter ist relevant, ob der Verstoß vorsätzlich oder fahrlässig herbeigeführt wurde und ob dem Unternehmen bereits in der Vergangenheit Verstöße zur Last gelegt wurden.

Das erste überhaupt unter Geltung der DSGVO öffentlich gewordene Bußgeld wurde von der portugiesischen Aufsichtsbehörde Commissao Nacional de Proteccao de Dados (CNPD) gegenüber einem Krankenhaus ausgesprochen. Die Höhe dieses Bußgelds betrug 400.000 Euro wegen Verletzung von Patientendaten und war damit deutlich höher als im ersten deutschen Fall.

Fazit: Bei Datenschutzverstößen kann sich die Zusammenarbeit mit der Aufsichtsbehörde lohnen

Der Fall des sozialen Netzwerks aus Deutschland zeigt, dass es sich lohnen kann, die in Artikel 83 Abs. 2 DSGVO genannten bußgeldrelevanten Faktoren für sich zu nutzen. Insbesondere die nachträglich beeinflussbaren Faktoren, also eine eigene Meldung und eine kooperative Zusammenarbeit mit der Aufsichtsbehörde sind künftig beim Umgang mit einem Datenverstoß im Auge zu behalten.

Tags: Bußgeld Deutschland DSGVO