Erstes Bußgeld des LfDI Baden-Württemberg nach der DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg), Dr. Stefan Brink, verhängte erstmals ein Bußgeld nach der DSGVO.

Wie der zugehörigen Pressemitteilung des LfDI Baden-Württemberg zu entnehmen ist, wurde am 21.11.2018 eine Geldbuße von 20.000 € gegen einen in Baden-Württemberg ansässigen Social-Media-Anbieter verhängt.

 

Inhalt

Was war konkret passiert?

Offene Zusammenarbeit mit den Behörden zahlt sich aus

Zwischenfazit

Handlungsempfehlungen für Datenschutz-Vorfälle

 

 

Was war konkret passiert?

Nach einem Hackerangriff wurden personenbezogene Daten von etwa 330.000 Nutzern (u.a. Passwörter und E-Mail-Adressen) entwendet. Neben der Information an die betroffenen Nutzer erfolgte die Meldung der Verletzung des Schutzes personenbezogenen Daten an das LfDI Baden-Württemberg durch das Unternehmen „unverzüglich und umfassend“. Dem LfDI wurde „bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.“

Aus der Pressemeldung geht weiters hervor, dass „durch die Speicherung der Passwörter im Klartext (…) das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten“ verstieß (Art. 32 Abs. 1 lit. a DSGVO).

 

Der direkte Link zur Pressemeldung

 

 

Offene Zusammenarbeit mit den Behörden zahlt sich aus

Das verhängte Bußgeld in Höhe von 20.000 € mag in Anbetracht der nach DSGVO geregelten Sanktionen von bis zu 10 Mio. oder 20 Mio. € als sehr gering angesehen werden.

Bei der Verhängung von Bußgeldern sind die Aufsichtsbehörden allerdings verpflichtet, einen definierten Katalog an Kriterien zu berücksichtigen (Art. 83 Abs. 2 DSGVO).

Wie der Pressemeldung zu entnehmen war, wurde bei der Bemessung des Bußgeldes vor allem die kooperative und transparente Zusammenarbeit des betroffenen Unternehmens berücksichtigt. In den Bemessungsspielraum fiel ebenso die „Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen“. Auch die finanzielle Gesamtbelastung des Unternehmens ging in die Bemessung der Bußgeldhöhe ein.

Betrachtet man, dass unter bereits eingesetzten und noch einzusetzenden IT-Maßnahmen infolge des Verstoßes ein lt. Pressemeldung „Gesamtbetrag im sechsstelligen Euro-Bereich“ auf das Unternehmen zukommt, so ist das konkrete Bußgeld vor allem eines: „verhältnismäßig“.

 

Zwischenfazit

Die Datenschutz-Aufsichtsbehörden sind sehr aktiv. Und deutlich mehr, als es in Anbetracht der seit dem 25.05.2018 exorbitant gestiegenen Anfragen oder Beschwerden erscheinen mag.

Die vorliegende Meldung soll keine Angst machen vor Bußgeldern, Vergehen oder Datenschutzpannen. Vielmehr soll sie neben der Information als Ansporn gelten, die Vorgaben der DSGVO umzusetzen und zu erfüllen. Die Meldung soll ebenfalls als Ansporn dazu dienen, im Falle einer Datenschutzpanne schnell, transparent und mit einem geplanten Vorgehen zu agieren – auch und vor allem in Kooperation mit den Aufsichtsbehörden.

 

Handlungsempfehlungen

 

1) Meldeprozess für Vorfälle (Art. 33 DSGVO)

Eine Meldung an die Aufsichtsbehörde hat innerhalb von 72 Stunden zu erfolgen. Integrieren Sie daher – sofern bislang noch nicht geschehen – einen internen Meldeprozess für Datenschutz-Vorfälle, um die Frist einhalten zu können. Und kommunizieren Sie den Prozess dann auch an Ihre Mitarbeiter.

 

2) Zusammenarbeit mit den Aufsichtsbehörden

Gehen Sie mit den Aufsichtsbehörden – unter Einbindung des Datenschutzbeauftragten – in einen transparenten und offenen Dialog. Seien Sie aufgeschlossen gegenüber den Empfehlungen der Behörden. Bei der Bemessung eines Bußgeldes ist das ein sehr wichtiges Kriterium.

 

3) Sensibilisierungsmaßnahmen

Auf mögliche Gefahren sensibilisierte Mitarbeiter sind meist die besten „Warnmelder“ und helfen effizient, Gefährdungen aller Art teilweise schon im Voraus einzudämmen oder ganz zu vermeiden. So auch im Datenschutz. Sensibilisieren Sie Ihre Mitarbeiter immer wieder auf mögliche Gefahren und das richtige Verhalten im Schadensfall – und sei es „nur“ ein verlorengegangener Laptop oder eine E-Mail an externe Kontakte über einen offenen Verteiler.

 

4) Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Eine (vollständige) Dokumentation der Verarbeitungstätigkeiten hilft, den Datenumgang in Ihrem Unternehmen transparent darzustellen und etwaige kritische Bereiche leichter zu identifizieren. Die Dokumentation hilft allerdings auch dabei, Vorfälle zu vermeiden, oder zumindest den Schaden zu minimieren. „Stellschrauben“ können leichter gefunden werden, um bei Vorfällen Abhilfe zu schaffen. Halten Sie daher Ihre Dokumentation entsprechend auf aktuellem Stand.
Eine aktuelle Übersicht der relevanten Verarbeitungstätigkeiten für eine Datenschutz-Folgenabschätzung (DSFA) finden Sie hier.

 

5) Einbindung des Datenschutzbeauftragten

Binden Sie aktiv Ihren Datenschutzbeauftragten ein, – vor allem bei Datenschutz-Vorfällen.

Unsere Aufgabe der Unterrichtung und Beratung, sowie des Überwachens der Einhaltung der DSGVO wird dadurch deutlich erleichtert. Zudem ist ein Prüfen, Anpassen oder Optimieren deutlich effizienter möglich.

 

 

Gerne unterstützen wir Sie bei der Umsetzung der genannten Handlungsempfehlungen. Auch für Fragen stehen wir Ihnen selbstverständlich zur Verfügung.

Informieren Sie sich über unser Portfolio oder nehmen Sie direkt Kontakt mit uns auf.