Welche Lehren können wir daraus ziehen?

Erstes Bußgeld nach DS-GVO in Baden-Wür­t­­temberg verhängt

Das LfDI Baden-Wür­t­­temberg hat am 22.11.2018 über seine erste Ver­hängung eines Buß­geldes nach der EU-Daten­­­schutz-Grun­d­­ver­­­ordnung informiert.

Laut der Pres­se­mit­teilung  der Daten­schutz­auf­sichts­be­hörde Baden-Wür­t­­temberg wurde am 21.11.2018 ein Bußgeld in Höhe von € 20.000,- gegen einen baden-wür­t­­te­m­­ber­­gi­­schen Social-Media-Anbieter ver­hängt. Ob bzw. ab wann der Buß­geld­be­scheid rechts­kräftig ist bzw. wird, ist der Ver­öf­fent­li­chung nicht zu entnehmen.

Das betroffene Unter­nehmen war offenbar im Juli 2018 Opfer eines Hacker­an­griffs geworden, bei dem unter anderem Pass­wörter und E‑Mail-Adressen von ca. 330.000 Nutzern ent­wendet und dann im Sep­tember 2018 ver­öf­fent­licht worden waren.

Der Buß­geld­be­scheid sank­tio­niert aber NICHT die Tat­sache, dass das Unter­nehmen erfolg­reich ange­griffen wurde, sondern dass die dem Unter­nehmen über­las­senen Nut­zer­pass­wörter ohne aus­rei­chenden Schutz (hier: im Klartext) gespei­chert wurden. Damit hat das Unter­nehmen gegen seine Pflicht zur Gewähr­leistung der Daten­si­cherheit gem. Art. 32 Abs. 1 Lit a DS-GVO verstoßen.

Inter­essant an dem Fall ist, dass die den Buß­geld­be­scheid begrün­denden Umstände der Auf­sichts­be­hörde erst im Rahmen der wei­teren Auf­klärung nach der pflicht­ge­mäßen Meldung der Daten­panne, die das betroffene Unter­nehmen gem. Art. 33 Abs. 1 bzw. Art. 34 Abs. 1 DS-GVO an die Auf­sichts­be­hörde und die Betrof­fenen unver­züglich nach Bekannt­werden der Daten­panne durch­ge­führt hat, bekannt wurden.

Aus meiner Sicht können aus dem Vorfall zwei wesent­liche Lehren gezogen werden:

• Eine gem. Art. 33 Abs. 1 DS-GVO not­wendige, unver­züg­liche Meldung einer Daten­panne an die zuständige Daten­schutz­auf­sichts­be­hörde führt nicht auto­ma­tisch zu einer Sank­ti­ons­be­freiung, wenn im Rahmen der Auf­klärung des Sach­ver­halts Ver­stöße gegen daten­schutz­recht­liche Pflichten des Ver­ant­wort­lichen fest­ge­stellt werden. Ggf. muss der Ver­ant­wort­liche abwägen, welche Angaben er im Rahmen einer Meldung gem. Art. 33 Abs. 1 DS-GVO macht. Die grund­sätz­liche Unter­lassung einer pflicht­ge­mäßen Meldung, z. B. um sich nicht selbst zu belasten, kann nicht der richtige Weg sein. Eine unter­lassene Meldung ist natürlich auch buß­geld­be­wehrt, wenn diese gem. Art. 33 Abs. 1 DS-GVO hätte durch­ge­führt werden müssen.

• Die noch im ersten Halbjahr 2018 für erheb­liche Ver­un­si­cherung oder gar Panik in Unter­nehmen sor­gende Befürchtung, es würden zukünftig nur noch Buß­gelder in Mil­lio­nenhöhe ver­hängt, hat sich (natürlich) nicht bewahr­heitet. Die in diesem Fall ver­hängten € 20.000,- sind aus meiner Sicht bei der Anzahl der Betrof­fenen und der ver­mut­lichen Größe des Unter­nehmens, das immerhin mind. 330.000 „Kunden” hat, nicht extrem hoch und sogar im Rahmen des alten Bun­des­da­ten­schutz­ge­setzes aus der Vor-DS-GVO-Zeit. Das LfDI Baden-Wür­t­­temberg hat aber auch ganz klar erklärt, dass die sehr gute Koope­ration des Unter­nehmens mit der Daten­schutz­auf­sicht ganz wesentlich zu Gunsten des Unter­nehmens berück­sichtigt wurde. Wenn also Ermitt­lungen der Daten­schutz­auf­sicht gegen ein Unter­nehmen laufen, emp­fiehlt sich immer die unein­ge­schränkte Kooperation.