20.000 Euro. Erstes Bußgeld in Deutschland nach der DSGVO verhängt
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Dr. Stefan Brink, meldet in einer Pressemitteilung vom 22.11.2018 die Verhängung des ersten Bußgelds nach der DGSVO. Gegen einen Social-Media-Anbieter aus Baden-Württemberg wurde ein Bußgeld von EUR 20.000,00 verhängt. Das Unternehmen sei – so Dr. Brink – wegen seiner umfassenden Kooperation mit der Datenschutzbehörde „glimpflich“ davon gekommen. Auslöser war die Meldung einer Datenpanne bei der Datenschutzbehörde. Seit dem 25.05.2018 müssen sämtliche Datenpannen der Datenschutzbehörde innerhalb von 72 Stunden gemeldet werden. In dem betreffenden Fall sind personenbezogene Daten von über 330.000 Nutzern entwendet worden. Das Problem dabei war vor allem, dass die Passwörter der Nutzer im Klartext gespeichert waren und nicht verschlüsselt bzw. gehasht waren. Also konnten die Hacker alle Zugangsdaten der Nutzer auslesen. Das ist ein Verstoß gegen die Pflicht zur Vornahme ausreichender Maßnahmen zur Datensicherheit nach Art. 32 DSGVO und damit ein Verstoß gegen die DSGVO der ein Bußgeld zur Folge haben kann. Denn jedes Unternehmen muss eine Risikoanalyse der bei sich verarbeiteten personenbezogenen Daten vornehmen und geeignete technische und organisatorische Maßnahmen ergreifen, um einen ausreichenden Schutz dieser Daten sicherzustellen. Die Pressmeldung des LfDI kann hier abgerufen werden: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/11/LfDI-Baden-W%C3%BCrttemberg-verh%C3%A4ngt-sein-erstes-Bu%C3%9Fgeld-in-Deutschland-nach-der-DS-GVO.pdf Fazit Es geht also los. Die Bußgelder werden verhängt und die Kontrollen der Datenschutzbehörden sind in allen Bundesländern angelaufen. Man sieht an diesem Beispiel gut, dass die Meldung einer Datenpanne Auslöser für entsprechende Verfahren der Datenschutzbehörden sein können, was jedoch keinesfalls dazu führen darf, dass Datenpannen verschwiegen werden. Denn das würde einen noch wesentlich größeren Schaden und ein ungleich höheres Bußgeld mit sich bringen. Die zweite Erkenntnis der Pressmeldung ist, dass eine Kooperation und eine transparente Haltung gegenüber den Datenschutzbehörden ein wichtiges Instrument nicht nur zur Beseitigung von Datenschutzproblemen darstellt, sondern vor allem auch einen erheblichen Einfluss auf die Höhe des Bußgeldes hat. Wir raten unseren Mandanten seit jeher zu einer möglichst umfassenden Transparenz und einer möglichst weitgehenden Kooperation in solchen Verfahren. Das Beispiel hier zeigt, dass sich diese Strategie auch auszahlt. Timo Schutt Rechtsanwalt Fachanwalt für IT-Recht