Aktuell bei Schmid & Stillner Rechtsanwälte

LfDI Baden-Württemberg verhängt erstes Bußgeld nach der DSGVO

Der Landesbeauftragte für Datenschutz des Landes Baden-Württembergs hat mit Bescheid vom einen 21.11.2018 ein erstes Bußgeld aufgrund eines Verstoßes gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit gegen ein baden-württembergisches Social-Media-Unternehmen i.H.v. € 20.000,00 verhängt.

 

Rechtsgrundlage für die Verhängung von Geldbußen ist Art. 83 DSGVO, der bei Verstößen gegen Vorschriften der DSGVO eine Geldbuße i.H.v. bis zu 20 Millionen € oder 4% des gesamten weltweit erzielten Jahresumsatzes vorsieht. Konkret sieht Art. 83 Abs. 4a bei Verstößen gegen die Vorschrift des Art. 32 DSGVO eine Geldbuße von bis zu 10 Millionen € oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens vor.

 

Gegenstand des vorliegenden Bußgeldverfahrens war ein Hackerangriff auf personenbezogene Daten von ca. 330.000 Nutzern des Social-Media-Unternehmens. Im Laufe des Verfahrens wurde bekannt, dass das Unternehmen die Passwörter seiner Nutzer im Klartext, also unverschlüsselt und unverfremdet, gespeichert hatte. Nach Bekanntwerden der Datenpanne meldete das Unternehmen diese dem LfDI und kooperierte im weiteren Verfahren umfangreich mit diesem.

 

Der LfDI wertete die Speicherung der Passwörter im Klartext als einen wissentlichen Verstoß gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1a DSGVO. Bei der Bemessung des Bußgeldes gemäß Art. 83 Abs. 2 DSGVO berücksichtigte der Landesbeauftragte für Datenschutz insbesondere die umfangreiche Kooperation im Rahmen des Bußgeldverfahrens zugunsten des Unternehmens. In der Pressemitteilung vom 22.11.2018 heißt es dazu:

 

„Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.“

 

(Unterstreichung durch uns).

 

Bei der Bemessung einer Geldbuße finden also auch diejenigen Aufwendungen Berücksichtigung, die vom Verantwortlichen zur Beseitigung und künftigen Vermeidung des Störungszustandes getroffen werden müssen.

 

In der Pressemitteilung heißt es abschließend:

 

„Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählte die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

 

Es zeigt sich also, dass selbst bei wissentlichen Verstößen gegen die DSGVO nicht ohne weiteres der volle Bußgeldrahmen des Art. 83 DSGVO ausgeschöpft wird. Insoweit ist nicht nur maßgeblich, inwieweit ein Unternehmen schuldhaft gegen die Vorschriften der Datenschutzgrundverordnung verstoßen hat, sondern auch insbesondere, wie sich das Unternehmen nach Bekanntwerden des Verstoßes verhält.

 

Stuttgart, den 03.12.2018

Christopher Herwig