Die Datenschutzbehörde Baden-Württemberg verhängt erstes DS-GVO Bußgeld
Kooperation mit Aufsicht macht es glimpflich
Die Datenschutzbehörde Baden-Württemberg hat das erste Bußgeld gemäß DS-GVO gegen die Firma Knuddels GmbH & Co. KG in Karlsruhe verhängt. Wie die Behörde mitteilt, hat das Unternehmen sich am 8. September 2018 mit einer Datenpannenmeldung an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von rund 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Zusätzlich stellte sich heraus, dass das Unternehmen die Passwörter seiner Nutzer im Klartext, also unverschlüsselt gespeichert hatte.
Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen laut LfDI wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO. Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg weist darauf hin, dass die Firma Knuddels ihre Nutzer nach den Vorgaben der DS-GVO unverzüglich und umfassend über den erfolgten Hackerangriff informierte.
Wie der Pressemeldung weiter zu entnehmen ist, sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Wegen dieser konstruktiven Zusammenarbeit mit dem LfDI und der zeitnahen Umsetzung umfangreicher Verbesserungen bei der Sicherheit der Nutzerdaten gab sich die Behörde daher mit einem Bußgeld von 20.000,– € zufrieden.
Zitat Dr. Brink: „Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“
Die Höhe des verhängten Bußgelds sieht auf den ersten Blick tatsächlich nach einem äußerst milden Vorgehen der Behörde aus, auf den zweiten Blick ergibt sich aber ein anderes Bild: Der Jahresabschluss zum Geschäftsjahr 2016 (der Abschluss des Jahres 2017 war zum Redaktionsschluss noch nicht veröffentlicht) weist für das Unternehmen eine Bilanzsumme von rund 2,1 Millionen Euro aus. Eine Gewinn- und Verlustrechnung wurde vom Unternehmen nicht veröffentlicht. Laut Veröffentlichung beschäftigt das Unternehmen im Durchschnitt 29 Mitarbeiter.
Legt man eine Bilanzsumme von zwei Million Euro zugrunde, würde das Bußgeld immerhin 1 Prozent des Jahresumsatzes betragen und damit keinesfalls als „glimpflich“ anzusehen sein. Wie in der Pressemeldung ausgeführt wird, hat das Unternehmen zudem einen sechsstelligen Betrag für die Umsetzung umfangreicher Verbesserungen des Datenschutzes aufwenden müssen. Vermutlich wird die Firma Knuddels zudem für längere Zeit unter besonderen Beobachtung der Datenschutz-Behörde stehen.
Leiter der Bußgeldstelle warnt Unternehmen, sich nicht in falscher Sicherheit zu wiegen
In diesem Zusammenhang passt auch eine Aussage von Benjamin Bäßler, dem Leiter der Bußgeldstelle beim LfDI, welche dieser im Rahmen der diesjährigen Herbstkonferenz des Berufsverbandes der Datenschutzbeauftragten Deutschlands e. V. an das Plenum richtete: „Die Unternehmen sollen sich nicht in falscher Sicherheit wiegen. Denjenigen, die sagen, da ist doch nichts passiert, kann ich nur zurufen: Lassen Sie sich nicht täuschen – die ersten Bußgeldverfahren laufen. Wiegen Sie sich nicht in Sicherheit, in sechs Monaten sieht die Sache schon völlig anders aus!“
Allen Verantwortlichen in den Unternehmen sollte deshalb klar sein, dass durch die in der DS-GVO enthaltenen Sanktionsmöglichkeiten kein Weg mehr an einer rechtskonformen Umsetzung des Datenschutzes im eigenen Unternehmen vorbeiführt und es sich lohnt, proaktiv Zeit und Geld in den Auf- und Ausbau des betrieblichen Datenschutzes zu investieren und dem eigenen Unternehmen damit Widrigkeiten nebst Imageschaden und völlig unnötige Kosten zu ersparen!