DWF logo

Search

DWF logo

              Datenschutzverstoß - erstes Bußgeld verhängt

              Im Jahr 2018 war die Datenschutz-Grundverordnung (DS-GVO) in aller Munde. Dabei sorgte auch der erheblich verschärfte Bußgeldrahmen bei datenschutzrechtlichen Verstößen von bis zu 20 Mio. Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist, für große Aufmerksamkeit. Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg (LDI) hat nun im November 2018 das erste Bußgeld für einen Verstoß gegen die DS-GVO in Deutschland verhängt.

              Date: 14/01/2019

              Der Fall

              Gegen die Betreiber der Online-Community Knuddels.de wurde ein Bußgeld in Höhe von 20.000 Euro festgesetzt, nachdem das Netzwerk im Juli Ziel eines Hackerangriffs wurde, bei dem Daten von 330.000 Nutzern ausgeleitet wurden. Diese Daten, darunter unverschlüsselt gespeicherte Passwörter und E-Mail-Adressen, wurden anschließend im September von den Hackern veröffentlicht. Der unberechtigte Zugriff auf die Daten führte insbesondere deshalb zu einem großen Risiko für die betroffenen Personen, da diese Daten auf den Servern von Knuddels im Klartext, also ohne den Schutz durch technische Maßnahmen zur Pseudonymisierung, gespeichert waren. Die Speicherung der personenbezogenen Daten im Klartext verstieß nach Auffassung des LDI gegen die Anforderungen an die Datensicherheit, welche in Art. 32 DS-GVO festgelegt sind.

               

              Gründe für die Bußgeldbemessung

              Das – gemessen am möglichen Bußgeldrahmen – vergleichsweise niedrige Bußgeld lässt sich nach der Äußerung des LDI auf das vorbildliche Verhalten und die Kooperation des Unternehmens mit der Aufsichtsbehörde zurückführen: Nach Bekanntwerden des Verstoßes meldete das Unternehmen den Vorfall unverzüglich bei der Behörde und ergriff schnell Maßnahmen zur Verbesserung der Datensicherheit. Ebenfalls wurden die von der Datenschutzverletzung betroffenen Personen unverzüglich über den Vorfall informiert. Darüber hinaus berücksichtigte das LDI unter anderem auch den finanziellen Aufwand, der dem Unternehmen aufgrund der Kosten für die Umsetzung der DS-GVO entstanden sind. So wandte das Unternehmen unter Einbeziehung der bereits umgesetzten und noch geplanten Maßnahmen für IT-Sicherheit, einschließlich der Geldbuße infolge des Verstoßes, Beträge im sechsstelligen Euro-Bereich auf.

               

              Schlussfolgerung

              Es lässt sich festhalten, dass die die Aufsichtsbehörden nun damit beginnen, Unternehmen zu überprüfen und bei Datenschutzverstößen zu sanktionieren. Weitere Bußgelder dürften von den einzelnen Aufsichtsbehörden im Laufe des Jahres 2019 verhängt werden. Insofern besteht für Unternehmen, die keine oder keine hinreichenden Maßnahmen zur Umsetzung des Datenschutzrechts getroffen haben, per se ein Risiko, mit einem, gegebenenfalls erheblichen Bußgeld belegt zu werden. Denn die vom LDI verhängte Bußgeldhöhe sollte nicht zu der Schlussfolgerung führen, dass in Deutschland weiterhin nur, im Verhältnis zum möglichen Bußgeld von bis zu 20 Mio. Euro, geringe Bußgelder verhängt werden. Vielmehr handelt es sich um einen Einzelfall, in dem die Behörde das geschilderte Verhalten des Unternehmens nach dem Datenschutzverstoß sowie die bereits umgesetzten und geplanten Maßnahmen und Aufwendungen zur Erfüllung der datenschutzrechtlichen Vorgaben zugunsten des Unternehmens bei der Bußgeldhöhe positiv berücksichtigt hat.

              Im Umkehrschluss bedeutet dies allerdings, dass Bußgelder im Einzelfall auch deutlich höher ausfallen können und voraussichtlich auch werden, wenn das Unternehmen nicht in der gesetzlich vorgeschriebenen Weise mit Verstößen umgeht und nicht darlegen kann, die gebotenen Anstrengungen unternommen zu haben und noch zu unternehmen, um datenschutzrechtlich rechtskonform zu sein. Insofern wird die Höhe des Bußgeldes auch maßgeblich von dem datenschutzrechtlichen Status quo des Unternehmens beeinflusst. Denn die Behörde wird stets bei der Bußgeldbemessung berücksichtigen, dass die Sanktionen von Datenschutzverstößen abhalten. Gemäß Art 84 DS-GVO müssen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Bemessungskriterien sind daher u. a. Art, Schwere und Dauer des Verstoßes, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, die getroffenen Maßnahmen zur Minderung des entstandenen Schadens, Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen, Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern, Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind, Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere durch Selbstanzeige, usw. (vgl. Art. 83 DS-GVO).

              Im Ergebnis ist jedem Unternehmen weiterhin zu empfehlen, sich professionell datenschutzrechtlich beraten lassen und die eigene Datenschutz-Compliance-regelmäßig auf den Prüfstand zu stellen. DWF unterstützt Sie jederzeit gerne dabei.

               

              Related people

              Klaus Brisch, LL.M. (USA)

              • Partner // Global Head of Technology // Fachanwalt für Informationstechnologierecht

              Marco Müller-ter Jung, LL.M. (Informationsrecht)

              • Partner // Fachanwalt für Informationstechnologierecht