Das LfDI Baden-Württemberg hat mit Bescheid vom 21.11.2018 gegen einen Social-Media-Anbieter eine Geldbuße in Höhe von 20.000,- Euro verhängt. Grund ist laut Pressemitteilung des LfDI ein eklatanter Verstoß des Unternehmens gegen seine Pflicht, für die Sicherheit der Datenverarbeitung zu sorgen: Man hatte Kundenpasswörter im Klartext gespeichert.
Der Inhalt im Überblick
Hintergrund des Verfahrens
Bei einem Hackerangriff im Juli 2018 seien dem Unternehmen personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter, Namen, Angaben zum Wohnort und E-Mail-Adressen, entwendet worden. Die Daten tauchten Anfang September 2018 zudem im Netz auf: Etwa 808.000 E-Mail-Adressen und 1.872.000 Pseudonyme seien veröffentlicht worden, so das Unternehmen. Die Passwörter seien im Klartext, also unverschlüsselt und ungehasht, gespeichert gewesen – ein eindeutiger Verstoß gegen Art. 32 Abs. 1 lit a DSGVO.
Laut Meldung verschiedener Presseportale handelt es sich bei dem Unternehmen um den Chat-Plattformanbieter Knuddels GmbH & Co. KG aus Karlsruhe, der in erster Linie von Kindern und Jugendlichen genutzt wird. Knuddels hat nach eigenen Angaben mehr als zwei Millionen registrierte Mitglieder.
Bußgeld trotz Lob
Der baden-württembergische Datenschutzbeauftragte Stefan Brink teilte mit, das Unternehmen habe
“in vorbildlicher Weise mit seiner Behörde zusammengearbeitet und die IT-Sicherheit erheblich verbessert“.
Nach Kenntnis des Angriffs sei unverzüglich gehandelt worden, Maßnahmen zur Eindämmung des Risikos wurden getroffen sowie die Nutzer zügig und umfassend informiert. Dank sehr guter Kooperation mit der Behörde sei die Sicherheit der Nutzerdaten in kurzer Zeit deutlich verbessert worden. Dies habe man dem Unternehmen bei Bestimmung der Bußgeldhöhe zu Gute gehalten.
Bedeutet dies für Unternehmen, dass trotz Zusammenarbeit mit den Aufsichtsbehörden grundsätzlich mit Bußgeldern in der nun ausgesprochenen Höhe zu rechnen haben? Laut Pressemitteilung des LfDI wurden sowohl die gute Kooperation und die schnelle Verbesserung der IT-Infrastruktur als auch die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Knuddels hatte laut deren Jahresabschlussbericht für das Jahr 2016 damals Umsatzerlöse von etwa 1,7 Millionen Euro.
Datenschutzverstöße kosten!
Gemäß Art. 83 DSGVO können Geldbußen bei Datenschutzverstößen bis zu 20 000 000 EUR oder im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen. Die portugiesische Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) hatte gerade vergangenen Montag bekanntgegeben, dass gegen das Krankenhaus Barreiro Montijo ein Bußgeld in Höhe von 400.000 Euro verhängt wurde, da der Krankenhausbetreiber „bewusst“ dafür gesorgt habe, dass Nutzer mit dem Profil „Techniker“ in den IT-Systemen auf Daten zugreifen konnten, die eigentlich nur für Ärzte einsehbar sein dürfen. Außerdem seien mehr Konten mit dem Profil „Arzt“ und entsprechenden Berechtigungen angelegt gewesen, als Ärzte in der Klinik beschäftigt sind. Die Verstöße wurden hier allerdings nicht von Krankenhausbetreiber angezeigt, sondern im Rahmen eines Audit aufgedeckt.
Was ist mit der Selbstbelastungsfreiheit ?
Dennoch sind 20.000,- Euro sicher kein Pappenstiel und nicht eben aus der Portokasse zu bezahlen – was letztlich ja auch Sinn und Zweck der neuen Bußgeldtatbestände ist. Doch darf man nicht vergessen, dass niemand verpflichtet ist bzw. werden darf, sich im Rahmen von Straf- und Bußgeldverfahren selbst zu belasten (siehe unser Beitrag Selbstbelastungsfreiheit vs. Mitwirkungspflicht beim Datenschutzverstoß). Aus diesem Grund schreibt zumindest das BDSG in § 43 Abs. 4 vor, dass eine (Eigen-)Meldung nach Art. 33 DSGVO oder eine Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO in einem Bußgeldverfahren gegen den Meldepflichtigen nur mit Zustimmung des Meldepflichtigen verwendet werden darf.
Das augenscheinliche Dilemma kann jedoch nicht dadurch gelöst werden, dass (zwingende) Meldungen schlicht unterlassen werden. Schließlich kann die unterlassene Mitwirkung ebenfalls bußgeldbewährt sein. Die Formulierungen des § 43 Abs. 4 BDSG und der Art. 33, 34 DSGVO zeigen jedoch, dass die Regelung sich nur auf solche Meldungen bezieht, bei denen zwingend eine Meldung erfolgen muss und rein auf die tatsächlichen Informationen, die Art. 33 und 34 DSGVO fordern. Man ist als Verantwortlicher daher gut beraten, das Vorliegen einer Meldepflicht genau zu prüfen bzw. durch einen versierten Datenschutzrechtler prüfen zu lassen.
Mir schwebt noch in Gedanken, dass bei der letzten Datenschutzweiterbildung die ich hatte gesagt wurde, dass Dinge die Unternehmen selbst Melden in Rahmen ihrer Meldepflicht nicht mehr Bestandteil einer Klage sein können. Aber scheinbar irre ich mich oder der Referent.