Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Erstes Bußgeld nach DS-GVO in Deutschland verhängt

29. November 2018
Es ist soweit: nachdem bereits vor Kurzem das erste Bußgeld nach DS-GVO überhaupt verhängt wurde (wir berichteten hier), haben wir nun das erste Bußgeld nach DS-GVO in Deutschland.

And the winner is…

Getroffen hat es das soziale Netzwerk knuddels.de, bei dem Anfang September bekannt wurde, dass über ein Datenleck eine 7-stellige Anzahl an Nutzer-Passworten öffentlich wurden. Die Höhe des Bußgelds beträgt € 20.000; hierzu später noch mehr.

Die Aufsicht lobt

Die zuständige Aufsichtsbehörde berichtet, dass die Kooperation des Portals vorbildlich gewesen sei. Neben der Meldung der Datenpanne an die Behörde hatte knuddels.de auch die Nutzer „unverzüglich und umfassend“ informiert. Es seien innerhalb kurzer Zeit notwendige Maßnahmen getroffen worden, um die Sicherheit der Server zu verbessern. Die Aufsichtsbehörde sei in diese Verbesserung einbezogen worden.

Wie konnte die Panne passieren?

Das Problem war, dass knuddels.de die Zugangsdaten offenbar nicht als Hashwert in der Datenbank abgespeichert hatte. Jeder, der Zugriff auf die entsprechende Datenbank erlangen konnte, hatte also die Zugangsdaten im Klartext vorliegen. Diese Art der Speicherung ist bereits seit Jahren nicht mehr Stand der Technik. Dieser Umstand dürfte auch einer der Hauptgründe sein, dass überhaupt ein Bußgeld verhängt wurde. Technische Mittel, um dies besser und sicherer zu lösen stehen seit Jahren zum Teil als kostenlose Open Source Bibliotheken zur Verfügung. Diese nicht einzusetzen ist unseres Erachtens tatsächlich grob fahrlässig.

Woran bemisst sich die Höhe des Bußgelds?

Die € 20.000 erscheinen im Vergleich zu dem Bußgeld, welches in Portugal verhängt worden war, eher gering. Dies dürfte zum einen daran liegen, dass das Unternehmen sich kooperativ gezeigt hat. Zum anderen wird knuddels.de nach Angabe der Behörde Investitionen im 6-stelligen Euro-Bereich tätigen, um die IT-Sicherheit weiter deutlich zu erhöhen. Es kann davon ausgegangen werden, dass diese Tatsachen (insbesondere die Kosten) in die Bemessung des Bußgelds eingeflossen sind. Die Bußgelder sollen nach Art. 83 Abs. 1 DS-GVO „wirksam, verhältnismäßig und abschreckend“ sein. Insbesondere dürfte hier das Kriterium der Verhältnismäßigkeit die Höhe des Bußgeldes stark beeinflusst haben.

Warum überhaupt ein Bußgeld?

Die Frage ist, warum überhaupt ein Bußgeld verhängt wurde. Schließlich regelt § 43 Abs. 4 BDSG, dass eine Meldung nach Art. 33 DS-GVO oder eine Benachrichtigung nach Art. 34 DS-GVO in einem Ordnungswidrigkeitsverfahren gegen den Meldepflichtigen oder Benachrichtigenden nur mit dessen Zustimmung verwendet werden darf. Hintergrund ist das verfassungsrechtliche Verbot des Zwangs zur Selbstbezichtigung. Somit ist anzunehmen, dass der Verstoß der Aufsichtsbehörde entweder ohne eine Meldung von knuddels.de bekannt wurde, oder dass die Meldung die Anforderungen des Art. 33 DS-GVO nicht vollständig erfüllte (bzw. die Meldung nicht vollumfänglich war), so dass der Behörde durch weitere Ermittlungen weitere Informationen oder Verstöße bekannt wurden. Da die offiziellen Informationen hierzu keine Hinweise enthalten, bewegen wir uns hier aber im Bereich der Spekulationen.

Feststeht, dass ein Verstoß gegen Art. 32 DS-GVO vorlag und das Bußgeld, sofern es verhängt werden musste, die Kriterien wirksam, abschreckend und verhältnismäßig zu erfüllen hatte. Mit € 20.000 dürfte die Aufsichtsbehörde hier ein recht gutes Fingerspitzengefühl bewiesen haben.

Lessons learned

Was lernen wir nun aus diesem ersten Bußgeld? Nun ja – zum einen wir haben gelernt, dass die Aufsichtsbehörden nun beginnen, tatsächlich Bußgelder zu verhängen. Zum anderen haben wir gelernt, dass auch eine Meldung nach Art. 33 DS-GVO nicht zwingend vor einem Bußgeld schützt, obwohl § 43 BDSG eine entsprechende Regelung enthält.

An dieser Stelle möchten wir auch noch einmal darauf hinweisen, dass für Sicherheitsmaßnahmen, die nicht dem Stand der Technik entsprechen oder sonst ungenügend sind, zwar nach Art. 83 Abs. 4 lit. a DS-GVO nur das „niedrige“ Bußgeld zur Anwendung kommt, für das aber auch bereits ein Rahmen von bis zu € 10.000.000 (oder 2% des weltweiten Vorjahres-Brutto-Konzernumsatzes) festgelegt ist. Es ist also durchaus empfehlenswert, bei meldepflichtigen Vorfällen kooperativ, ehrlich und vor allem bemüht zu sein, tatsächlich eine Verbesserung der Situation herzustellen. Und es ist ausgesprochen wichtig, dass die gegebenenfalls abzugebende Meldung die Anforderungen des Art. 33 Abs. 3 DS-GVO vollständig erfüllt. Die Einbeziehung des Datenschutzbeauftragten ist in solchen Fällen unerlässlich.

Stellen Sie Ihre technischen Maßnahmen zur Datensicherheit regelmäßig auf den Prüfstand! Gerne unterstützen wir Sie dabei.