Ein knappes halbes Jahr nachdem die DSGVO in Kraft getreten ist (oder genauer gesagt die Übergangsfrist der Straffreiheit ausgelaufen ist), wurde nun in Deutschland das erste Bußgeld aufgrund eines Verstoßes gegen die DSGVO verhängt. € 20.000,- musste ein Social-Media-Anbieter aus Baden-Württemberg bezahlen…

Was war passiert? Im Juli 2018 wurde das soziale Netzwerk des Anbieters gehackt, die Daten (darunter auch Emailadressen und Passwörter) von rund 300.000 Nutzern wurden entwendet und veröffentlicht. Der Betreiber des Netzwerkes hatte im September, nachdem er die Datenpanne entdeckt hatte, diese an die Behörden gemeldet, und auch seine Nutzer nach Vorgaben der DSGVO unverzüglich und umfassend über das Datenleck informiert.

Der Landesbeauftragte für Datenschutz und Informationssicherheit (LfDI) Baden-Württemberg leitete daraufhin umfangreiche Untersuchungen ein, wurde dabei aber intensiv durch den Betreiber des Netzwerkes unterstützt. Bei den Untersuchungen zeigte sich, dass zum Beispiel die Passwörter der Nutzer in Klartext in der Datenbank gespeichert worden waren, was das Auslesen und die Veröffentlichung deutlich vereinfacht hat. Im Zusammenarbeit mit dem LfDI wurden also innerhalb weniger Wochen die Datenlecks geschlossen, sowie zahlreiche weitere Maßnahmen umgesetzt um die Datensicherheit auf den aktuellen Stand zu bringen.

Das LfDI hat die Kooperationsbereitschaft des Unternehmens im Urteil besonders hervorgehoben und gelobt und auch strafmildernd angeführt, die Strafhöhe wurde daher auf eine (im Vergleich zum maximalen Strafrahmen von bis zu € 20. Mio.) relativ geringe Strafe von € 20.000,- festgesetzt.

Alle Details zum Urteil lesen Sie in der offiziellen Pressemeldung des LfDI.

Fazit

Die DSGVO ist da, sie gilt, und bei Nichtbeachtung wird auch gestraft. Durch Kooperation mit den Behörden lassen sich Strafhöhen zwar bedeutend verringern, es ist aber trotzdem für Unternehmen unumgänglich, für einen zeitgemäßen Schutz aller personenbezogenen Daten zu sorgen.