Die LfDI Baden-Württemberg hat im November 2018 das erste Bußgeld nach DSGVO ausgestellt. Die Behörde lobte ausdrücklich die Kooperation mit dem Social-Media-Unternehmen, aber verhängte trotzdem ein Bußgeld von 20.000 Euro. Warum?
Verzeichnis
Erstes Bußgeld nach Datenschutz-Grundverordnung
Dieses Urteil ist kein besonders großes – eigentlich eine übliche Bußgeldzahlung. Es wird nur dadurch interessant, da wir jetzt erstmals ein Praxisbeispiel haben, in dem die DSGVO angewandt wird.
Zeitlauf der Ereignisse
Das betroffene Unternehmen meldete sich am 8. September 2018 mit einer Datenpannenmeldung beim Landesbeauftragten für Datenschutz und Informationsfreiheit des Bundeslandes Baden-Württemberg.
Nach einem Hackerangriff im Juli 2018 bemerkte man im Unternehmen, dass personenbezogene Daten von etwa 330.000 Nutzern entwendet wurden. E-Mail-Adressen, Passwörter und andere Informationen wurden daraufhin Anfang September 2018 veröffentlicht.
Warum musste Bußgeld gezahlt werden?
Die Landesdatenschutzbehörde lobte das Unternehmen in ihrer Pressemitteilung deutlich:
Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen.
Bei der Prüfung des Falles fand das LfDI allerdings heraus, dass das Unternehmen die Passwörter der Nutzer im Klartext gespeichert hatte, also unverschlüsselt und nicht pseudonymisiert (ungehasht). Das Unternehmen hatte einen „Passwortfilter“ damit gefüttert, um die Übermittlung von Nutzerpasswörtern an unberechtigte Dritte zu verhindern. Irgendwie ironisch.
Aufgrund dieses Versäumnisses musste das Unternehmen allerdings die Strafzahlung leisten. Den gesamten Fall können Sie im folgenden Absatz nachlesen.
Pressemitteilung des LfDI Baden-Württemberg
LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.