Die Bußgeldstelle des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) verhängt ihr erstes Bußgeld in Deutschland nach der DSGVO. Betroffen war das Chatportal „Knuddels“, das sich bei der Aufklärung des Verstoßes jedoch äußerst kooperativ verhielt und dadurch die Bußgeldhöhe überraschend gering halten konnte.

Zum Sachverhalt

Am 08.09.2018 meldete die Knuddels GmbH & Co. KG dem Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg eine Datenpanne im eigenen Unternehmen. Hintergrund war ein Hackerangriff, von dem das Portal im vorangegangenen Juli betroffen war. Hierbei wurden personenbezogene Daten – vor allem Passwörter und Emailadressen – von circa 330.000 Nutzern des Unternehmens durch die Angreifer entwendet. Dem Portalbetreiber war das unverschlüsselte Speichern der Passwörter seiner Nutzer als Verstoß gegen Art. 32 Abs. 1 lit a DSGVO vorzuwerfen.

Durch die unverzügliche Meldung der Panne kam die Knuddels GmbH & Co. KG ihren Meldepflichten aus der DSGVO ordnungsgemäß nach. Auch im Weiteren gab sich das Unternehmen äußerst kooperativ und legte dem LfDI unter anderem seine Datenverarbeitungs- und Unternehmensstrukturen offen, so dass eine schnelle Aufklärung des Sachverhaltes und die unverzügliche Einleitung entsprechender Gegenmaßnahmen erfolgen konnte.

Bußgeldverhängung

Mit Bescheid vom 21.11.2018 setzte die Bußgeldstelle des LfDI ein Bußgeld in Höhe von „nur“ 20.000 EUR fest.

Obgleich Art. 83 Abs. 4 DSGVO einen Bußgeldrahmen von bis zu 10 Mio. EUR oder bis zu 2 % des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs ermöglicht, sah sich der LfDI im vorliegenden Fall nicht dazu veranlasst, den vorgegebenen Bußgeldrahmen auszuschöpfen. Vielmehr wurde im Rahmen eines „verhältnismäßigen Bußgeldes“ das Entgegenkommen des Unternehmens bei der Aufklärung des Verstoßes sowie deren Anstrengungen zur Beseitigung der datenschutzrechtlichen Mängel mit in die Abwägung einbezogen und zugunsten des Unternehmens berücksichtigt. Selbiges galt für die finanzielle Belastung, welche das Unternehmen nicht nur durch das Bußgeld, sondern auch durch die erfolgten und noch ausstehenden Maßnahmen zur verbesserten Sicherung der Nutzerdaten erleidet.

Kooperation macht sich bezahlt

Der Bußgeldrahmen der DSGVO bringt einen erheblichen Spielraum in beide Richtungen mit sich. In Anbetracht der besonders hohen Sanktionsmöglichkeiten dürfen Datenschutzverstöße keineswegs auf die leichte Schulter genommen werden. Dennoch werden diese in der Praxis auch bei gründlichster Vorbereitung auf den Datenschutz nie völlig ausgeschlossen sein. Daher ist es umso mehr von Bedeutung, ein funktionierendes Datenschutz-Management-System im Unternehmen zu etablieren, das rechtzeitig und mit den richtigen Gegenmaßnahmen dem Risiko erheblicher Bußgelder entgegenwirkt. Am Beispiel des LfDI zeigt sich, wie wichtig hierbei eine kooperative Zusammenarbeit mit den Datenschutzbehörden sein kann, denn gerade im Datenschutzrecht ist ein guter Draht zu den Aufsichtsbehörden oftmals bares Geld wert.

Fragen zum Datenschutz? Einfach eine E-Mail an leipzig@maslaton.de senden.