DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Welche Lehren können wir daraus ziehen?

Erstes Bußgeld nach DS-GVO in Baden-Wür­t­­temberg ver­hängt

Das LfDI Baden-Wür­t­­temberg hat am 22.11.2018 über seine erste Ver­hängung eines Buß­geldes nach der EU-Daten­­schutz-Grun­d­­ver­­­ordnung infor­miert.

Laut der Pres­se­mit­teilung  der Daten­schutz­auf­sichts­be­hörde Baden-Wür­t­­temberg wurde am 21.11.2018 ein Bußgeld in Höhe von € 20.000,- gegen einen baden-wür­t­­te­m­ber­gi­­schen Social-Media-Anbieter ver­hängt. Ob bzw. ab wann der Buß­geld­be­scheid rechts­kräftig ist bzw. wird, ist der Ver­öf­fent­li­chung nicht zu ent­nehmen.

Das betroffene Unter­nehmen war offenbar im Juli 2018 Opfer eines Hacker­an­griffs geworden, bei dem unter anderem Pass­wörter und E-Mail-Adressen von ca. 330.000 Nutzern ent­wendet und dann im Sep­tember 2018 ver­öf­fent­licht worden waren.

Der Buß­geld­be­scheid sank­tio­niert aber NICHT die Tat­sache, dass das Unter­nehmen erfolg­reich ange­griffen wurde, sondern dass die dem Unter­nehmen über­las­senen Nut­zer­pass­wörter ohne aus­rei­chenden Schutz (hier: im Klartext) gespei­chert wurden. Damit hat das Unter­nehmen gegen seine Pflicht zur Gewähr­leistung der Daten­si­cherheit gem. Art. 32 Abs. 1 Lit a DS-GVO ver­stoßen.

Inter­essant an dem Fall ist, dass die den Buß­geld­be­scheid begrün­denden Umstände der Auf­sichts­be­hörde erst im Rahmen der wei­teren Auf­klärung nach der pflicht­ge­mäßen Meldung der Daten­panne, die das betroffene Unter­nehmen gem. Art. 33 Abs. 1 bzw. Art. 34 Abs. 1 DS-GVO an die Auf­sichts­be­hörde und die Betrof­fenen unver­züglich nach Bekannt­werden der Daten­panne durch­ge­führt hat, bekannt wurden.

Aus meiner Sicht können aus dem Vorfall zwei wesent­liche Lehren gezogen werden:

  • Eine gem. Art. 33 Abs. 1 DS-GVO not­wendige, unver­züg­liche Meldung einer Daten­panne an die zuständige Daten­schutz­auf­sichts­be­hörde führt nicht auto­ma­tisch zu einer Sank­ti­ons­be­freiung, wenn im Rahmen der Auf­klärung des Sach­ver­halts Ver­stöße gegen daten­schutz­recht­liche Pflichten des Ver­ant­wort­lichen fest­ge­stellt werden. Ggf. muss der Ver­ant­wort­liche abwägen, welche Angaben er im Rahmen einer Meldung gem. Art. 33 Abs. 1 DS-GVO macht. Die grund­sätz­liche Unter­lassung einer pflicht­ge­mäßen Meldung, z. B. um sich nicht selbst zu belasten, kann nicht der richtige Weg sein. Eine unter­lassene Meldung ist natürlich auch buß­geld­be­wehrt, wenn diese gem. Art. 33 Abs. 1 DS-GVO hätte durch­ge­führt werden müssen.
  • Die noch im ersten Halbjahr 2018 für erheb­liche Ver­un­si­cherung oder gar Panik in Unter­nehmen sor­gende Befürchtung, es würden zukünftig nur noch Buß­gelder in Mil­lio­nenhöhe ver­hängt, hat sich (natürlich) nicht bewahr­heitet. Die in diesem Fall ver­hängten € 20.000,- sind aus meiner Sicht bei der Anzahl der Betrof­fenen und der ver­mut­lichen Größe des Unter­nehmens, das immerhin mind. 330.000 „Kunden” hat, nicht extrem hoch und sogar im Rahmen des alten Bun­des­da­ten­schutz­ge­setzes aus der Vor-DS-GVO-Zeit. Das LfDI Baden-Wür­t­­temberg hat aber auch ganz klar erklärt, dass die sehr gute Koope­ration des Unter­nehmens mit der Daten­schutz­auf­sicht ganz wesentlich zu Gunsten des Unter­nehmens berück­sichtigt wurde. Wenn also Ermitt­lungen der Daten­schutz­auf­sicht gegen ein Unter­nehmen laufen, emp­fiehlt sich immer die unein­ge­schränkte Koope­ration.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare