Der Landesbeauftragte für Datenschutz in Baden-Württemberg auf Knuddel(s)kurs

Köln, 30.11.2018 – Nachdem das soziale Netzwerk Knuddels Kunden-Passwörter nicht ausreichend geschützt hatte, muss es nun ein Bußgeld in Höhe von 20.000 Euro zahlen, wie der Landesbeauftragte für Datenschutz und die Informationsfreiheit in Baden-Würtemberg (LfDI) in einer Pressemitteilung mitteilte. Die Strafe verbleibt damit weit hinter dem, was Datenschützer in den vergangenen Monaten bei Verstößen prognostiziert hatten und stellt wohl das erste größere Bußgeld nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) in Deutschland dar.

Nach einer Datenpanne hatte sich das Netzwerk Knuddels im Jahre 2018 eigenmotiviert an den LfDI gewandt, nachdem es bemerkte, dass durch einen Hackerangriff im Juli 2018 ca. 350.000 personenbezogene Daten entwedet und veröffentlicht worden waren.  

Diese Daten bestanden unter anderem aus Passwörtern und E-Mail Adressen. Dabei hatte Knuddels die Passwörter wissentlich im Klartext gespeichert. Ein klarer Verstoß gegen die Pflicht zur Gewährleistung der Datensicherheit nach Artikel 32 Abs. 1 a) DSGVO, so das LfDI.

Eine eher milde Sanktion stellen die 20.000 Euro dar, so die Landesbehörde auch selbst. Dies aber sei nicht die Regel sondern der umfassenden Kooperation durch Knuddels mit der Behörde und der bereitwilligen Ankündiung und Umsetzung der Verbesserung im Datenschutz und in der IT Sicherheit geschuldet.

In seiner Pressemitteilung begründet der LfDI die Höhe des Bußgeldes entsprechend wie folgt:

„Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesdatenschutzbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werde. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußggelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.“

Zum Glück nicht eingetreten ist das unter Datenschützern prophezeite Horror-Szenario, nach dem punktgenau zum 25. Mai 2018 drakonische Bußgelder verhängt werden und eine Abmahnwelle das Land überflutet. Den Verlautbarungen der Datenschutzbehörden zufolge ist aber damit zu rechnen, dass in Kürze weitere Bußgelder ab Ende 2018 ausgesprochen werden. Der Fall Knuddels könnte also ein Startschuss gewesen sein.

Das verhältnismaßig milde Bußgeld im Fall Knuddels und die ausgebliebenen Horror-Szenarien sollten daher keinesfalls dazu führen, das Thema DSGVO aus den Augen zu verlieren. Wenn Sie als Verbundgruppe Bedarf an Beratung zur DSGVO oder deren Umsetzung haben, sprechen Sie uns an.