Der baden-württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit macht ernst. Die Social-Media-Plattform „Knuddels“ wurde wegen einer erheblichen Datenpanne mit einer Geldbuße in Höhe von 20.000 Euro belegt. Hierzulande hat damit erstmals seit dem Inkrafttreten der DSGVO eine Aufsichtsbehörde vom Sanktionsinstrument des Art. 83 DSGVO Gebrauch gemacht.

Geleakte Nutzerdaten

Als am 8. September 2018 bekannt wurde, dass rund 330.000 Nutzerdaten des gerade unter Jugendlichen beliebten Chatanbieters aus Karlsruhe Ziel eines Hackerangriffs wurden (andere Quellen sprechen gar von 1,8 Millionen betroffenen Datensätzen), war die Aufregung groß. Schließlich waren personenbezogene Datensätze betroffen, die neben Nickname, E-Mailadresse und Passwort zum Teil auch Bezüge zum realen Namen und Wohnort der Nutzer enthielten. Das Unternehmen reagierte auf die Datenpanne schnell. Es informierte seine Nutzer über den Hackerangriff umfassend und meldete den Vorfall der baden-württembergischen Aufsichtsbehörde.

Gut gemeint aber schlecht gemacht – Verstoß gegen Art. 32 DSGVO

Im Zuge der Aufarbeitung offenbarte sich, dass die Social-Media-Plattform die Passwörter ihrer Nutzer ungehasht – im Klartext also ohne Verschlüsslung und Verfremdung – gespeichert hatte. Der Hintergrund war, dass das Unternehmen die Klartextpasswörter zum Schutz seiner Nutzer verwendete. Diese Klartextpasswörter, so die Aufsichtsbehörde, nutzte das Unternehmen beim Einsatz eines sogenannten „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte.

Die vermeintliche Schutzmaßnahme der Social-Media-Plattform, Passwörter im Klartext zu speichern, entpuppt sich beim näheren Hinsehen als grober Pflichtverstoß gegen Art. 32 Abs. 1 lit. a) DSGVO. Die Aufsichtsbehörde hat der Social-Media-Plattform vorgeworfen, wissentlich gegen diese Pflichten verstoßen zu haben. Seit Mai 2018 sehen diese vor, dass zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten, der Verantwortliche verpflichtet ist, im Unternehmen eine ausreichende IT-Sicherheitsstruktur zu schaffen. Im Konkreten muss er unter anderem gewährleisten, dass entsprechende Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten getroffen werden.

„Milde“ Strafe dank umfassender Kooperation

Nach Dr. Stefan Brink, dem Behördenchef in Baden-Württemberg, ging der Vorfall für „Knuddels“ glimpflich aus. Sieht man sich den Sanktionskatalog des Art. 83 Abs. 4 DSGVO an, wird klar, was damit gemeint ist. Der europäische Gesetzgeber hat den Aufsichtsbehörden mit Art. 83 DSGVO eine Möglichkeit an die Hand gegeben, Datenverstöße mit Geldbußen von bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 % seiner global erzielten Jahresumsätze zu sanktionieren. Den Aufsichtsbehörden ist diesbezüglich ein weiter Ermessenspielraum eingeräumt, in welcher Höhe dies geschehen soll. Dass die Social-Media-Plattform (nur) mit einer Geldbuße von 20.000 Euro belegt wurde liegt vor allem daran, dass „Knuddels“ sich sehr kooperativ zeigte. Die enge und transparente Zusammenarbeit mit der Aufsichtsbehörde habe sich positiv auf die ausgesprochene Folge des Datenschutzverstoßes ausgewirkt. In seiner Pressemitteilung unterstreicht der Landesbeauftragte, dass die Social-Media-Plattform in kürzester Zeit notwendige Maßnahmen ergriff, um ihre IT-Sicherheit auf einen Art. 32 DSGVO entsprechenden Stand zu bringen. Ziel sei es nicht „in einen Wettbewerb um möglichst hohe Bußgelder einzutreten“, an erster Stelle stehe „die Verbesserung von Datenschutz und Datensicherheit für die betroffen Nutzer“.

Interessant am Rande: Gerade mal 75 Tage hat es vom Bekanntwerden der Datenpanne bis hin zur Verhängung der Geldbuße gedauert – für Aufsichtsbehörden-Verhältnisse eine recht schnelle Reaktion.

Bewertung und Empfehlung

Diese Bußgeldentscheidung einer Datenschutzbehörde hat in jeder Hinsicht eine starke Signalwirkung für den Umgang mit personenbezogenen Daten. Auch wenn hier nicht das schärfste aller Schwerter gezogen wurde, wird doch sehr deutlich, dass die Nichteinhaltung von Anforderungen der DSGVO unangenehme Konsequenzen für Verantwortliche nach sich ziehen kann. Auf die Frage, was Unternehmen angesichts dieses Bußgeldes und des zugrundeliegenden „Gesetzesverstoßes“ nun tun sollten, muss man zunächst darauf hinweisen, dass die verschlüsselte Speicherung von Passwörtern in vielen Anwendungen und Verzeichnisdiensten schon länger Standard ist. So werden z.B. im Active Directory, dem Windows-Verzeichnisdienst, Passwörter grundsätzlich verschlüsselt abgelegt. Auch viele Online-Shop-Anwendungen haben dies standardmäßig implementiert.

Der vorstehende Fall darf allerdings nicht darüber hinwegtäuschen, dass die vom Verantwortlichen einzuhaltenden Vorgaben nicht beim Thema Passwort-Verschlüsselung endet – schließlich umfasst der Katalog der DSGVO im Hinblick auf die IT-Sicherheit diverse Anforderungen. Diese reichen von angemessenen physischen Sicherheitsmaßnahmen (wie z.B. CO2-Löschern im Serverraum), bis hin zur Frage, wie die Unternehmensprozesse zur Vergabe und Entzug von Zugriffsberechtigungen für unternehmenskritische Anwendungen gestaltet sind. Dieser Bußgeld-Fall sollte für alle Unternehmen Anlass sein, den Blick von den bisher im Fokus stehenden Dokumentations- und Informationspflichten auch mit besonderem Augenmerk auf die eigene IT-Sicherheit zu richten.