Der Landesbeauftragte für Datenschutz des Landes Baden-Württemberg hat ausweislich einer aktuellen Pressemitteilung https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/ einen Verstoß gegen die Pflicht zur Sicherheit der Datenverarbeitung geahndet.
Danach hat der LfDI mit Bescheid vom 21.11.2018 gegen den Anbieter eines sozialen Netzwerkes – Presseberichten zufolge soll es sich um die vornehmlich von Kindern und Jugendlichen genutzte Chat-Plattform „Knuddels.de“ handeln. Der Jahresumsatz für 2016 soll 1,7 Millionen EUR betragen haben. Bezogen auf jenen Umsatz beläuft sich das Bußgeld auf 1,2 % des Umsatzes.
Wie sich nun anlässlich eines Hackerangriffs herausgestellt hatte, waren die bei dem Unternehmen hinterlegten Kundenpasswörter im Klartext gespeichert worden. Bei dem Hackerangriff waren dem Unternehmen personenbezogene Daten von etwa 330.000 Usern entwendet worden. Von diesen Daten waren im September 2018 etwa 800.000 E-Mailadressen sowie knapp 2 Mio. Pseudonyme veröffentlicht worden. Die entsprechenden Passwörter waren unverschlüsselt gespeichert gewesen, was einen deutlichen Verstoß gegen Art. 32 Abs. 1 lit. a) DSGVO darstelle. In Art. 32 DSGVO sind die Vorgaben für die Sicherheit der Datenverarbeitung geregelt. Gem. Abs. 1 lit. a) dieser Vorschrift sind personenbezogene Daten zu pseudonymisieren und zu verschlüsseln.
Das Unternehmen hatte laut Auskunft des LfDI “in vorbildlicher Weise mit seiner Behörde zusammengearbeitet und die IT-Sicherheit erheblich verbessert“. Das hatte sich dann auch auf die Höhe des Bußgeldes ausgewirkt.
Zu beachten ist, dass die DSGVO Meldepflichten bei Datenschutzverstößen ausdrücklich vorsieht. Das bedeutet zwar nicht, dass bei einer solchen Meldung kein Bußgeld verhängt würde, allerdings ist davon auszugehen, dass bei unterlassener Meldung das Bußgeld umso höher ausfällt.
Unternehmen sollten daher die Sicherheit der Datenverarbeitung streng beachten.
Sollte gleichwohl einmal eine Sicherheitslücke auf- und eine Datenschutzverletzung eingetreten sein, so sollte unverzüglich geprüft werden, ob eine Meldung insbes. gegenüber der zuständigen Aufsichtsbehörde notwendig ist. Grundsätzlich ist jede Datenschutzverletzung gem. Art. 33 DSGVO der Aufsichtsbehörde zu melden. Etwas anderes gilt nur dann, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheuten natürlicher Personen führt. In allen anderen Fällen ist die Meldung binnen 72 Stunden vorzunehmen. Die weiteren Inhalte der Meldung sind vor allem in Art. 33 Abs. 3 DSGVO geregelt.
Sofern die Datenschutzverletzung voraussichtlich sogar ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person zu Folge hat, ist sie auch der betroffenen Person unverzüglich mitzuteilen. besteht. Als hohes Risiko gelten vor allem: Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, wirtschaftliche oder gesellschaftliche Nachteile.
Gern stehe ich Ihnen für Erläuterungen sowie Unterstützung bei der Umsetzung der DSGVO zur Verfügung.