Die Datenschutzbehörden kündigten schon länger an, dass die ersten Bußgelder nach der DSGVO im vierten Quartal verhängt werden würden. Nun ist es soweit:
Der Landesdatenschutzbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) verhängte just das erste Bußgeld und zwar in Höhe von 20.000,00 EUR gegen den Anbieter einer Social Media Plattform.
Nur 20.000,00 EUR?! So eventuell die eine oder andere innere Reaktion der Leser*innen. Führt man sich jedoch zum einen die Hintergründe, die im konkreten Fall zu diesem Betrag führten und zum anderen die Höhe von Bußgeldern, die bis zur DSGVO verhängt wurden, vor Augen, sieht das Bild schon anders aus.
Bußgeldhöhen vor der DSGVO
Leider enthält der Tätigkeitsbericht des LfDI BW 2016/2017 keine Übersicht über die geführten Bußgeldverfahren und der Höhe der verhängten Bußgelder. Eine solche Übersicht findet sich jedoch erfreulicherweise stets in den Tätigkeitsberichten des Hamburger Beauftragten für Datenschutz und Informationssicherheit, so auch im Tätigkeitsbericht des HmbDfDI 2016/2017, S. 128. Hier findet sich zwar auch einmal die Summe von 20.000,00 EUR – jedoch für fünf Fälle einer unzulässigen Score-Übermittlung, d.h. pro Tatbestandserfüllung auch nur 4.000,00 EUR. Daneben erscheint einmal ein Bußgeld in Höhe von 19.800,00 EUR für die (unzulässige) Nutzung von Adressdaten, die mittel „friend invite“-Funktionen erhalten wurden. Weiß man hier jedoch, dass es sich bei dem Verantwortlichen um das Business-Netzwerk XING handelte, erscheint auch dieser Betrag nicht gerade umwerfend hoch. (Vgl. Tätigkeitsbericht des HmbfDI 2016/2017 S. 78).
Werden diese beiden Verfahren außen vor gelassen, so lag bei 20 verbleibenden Bußgeldverfahren das verhängte Bußgeld im Schnitt bei 4.552,50 EUR. Nichts, was einen Unternehmer um den Schlaf bringt. Und erst recht keine Summe, die einen Anreiz bot, Investitionen in Sachen Datensicherheit und Datenschutz zu tätigen.
Bußgeld von 20.000 EUR im konkreten Fall
Im konkreten Fall wurde gegen ein soziales Netzwerk, das maßgeblich von Kindern und Jugendlichen genutzt wird, ein Bußgeld von 20.000 EUR nach Art. 83 Abs. 4 a) iVm Art. 32 DSGVO verhängt. Nach einem Hackerangriff, bei dem im Juli 2018 circa 330.000 Nutzerdaten entwendet und Anfang September veröffentlicht wurden, machte das Unternehmen nach Kenntnis diesen Umstands bei dem LfDI die nach Art. 33 DSGVO notwendige Meldung. Im Zuge der Ermittlung ergab sich, dass das Unternehmen Passwörter im Klartext, d.h. unverschlüsselt und nicht verfremdet (gehasht) gespeichert hatte. Dies stellt wiederum einen Verstoß gegen Art. 32 DSGVO, nämlich die Datensicherheit dar. (Ausführlich dazu: Pressemitteilung des LfDI BW)
Nach Angaben des LfDI kooperierte das Unternehmen umgehend mit der Datenschutzbehörde und „legte in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen„. Weiter heißt es „Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen.“ Ein solches Verhalten ist selbstverständlich bei der Bemessung des Bußgelds im Sinne von Art. 83 DSGVO zu berücksichtigen. Bußgelder müssen nach Absatz 1 schließlich nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Vor diesem Hintergrund war weiter zu berücksichtigen, dass das Unternehmen im Zuge der in Abstimmung mit dem LfDI vorgenommenen Maßnahmen zur Verbesserung der IT-Sicherheit einen sechsstelligen (ja.) Gesamtbetrag aufgewendet hat.
Schon vor diesem Hintergrund ist ein Bußgeldbescheid von 20.000,00 EUR kaum mehr unter dem Motto „Ach, okay, dafür bilden wir eine Rückstellung.“ zu verbuchen.
Aber lassen wir die Investitionen in die IT-Sicherheit einmal beiseite. Wäre es – wie die FAZ schreibt – tatsächlich möglich gewesen, eine Bußgeld in einer Höhe von bis zu 20 Millionen EUR zu verhängen, da „die strengeren Regeln dies ermöglichen“? Die Antwortet lautet: Nein, nach den vorliegenden Informationen wäre das faktisch wohl nicht möglich gewesen.
Zwar liegt keine aktuelle Bilanz des in Rede stehenden Unternehmens vor, die Bilanz von 2016 statuiert jedoch Umsatzerlöse von gut 1,7 Millionen EUR und eine Anzahl von 29 Mitarbeitern. Nun kann sich das Unternehmen selbstverständlich in den letzten Jahren entwickelt haben. Dass das Unternehmen jedoch seine weltweiten Umsätze derart steigern konnte, dass ein Bußgeld von 20 Millionen EUR als verhältnismäßig zu definieren wäre, ist eher unwahrscheinlich. (Davon hätte die Social Media Szene längt erfahren und das soziale Netzwerk gälte als das neueste (alte) Unicorn.) Ginge man von einem Jahresumsatz von circa 2 Millionen EUR aus, dann… wäre ein Bußgeld von 20.000,00 EUR nichts anderes als 1% des Jahresumsatzes.
Dies würde wiederum bedeuten, dass es sich bei dem verhängten Bußgeld – insbesondere vor den nun aufgrund des bisherigen Verstoßes gegen Art. 32 DSGVO zwingend erforderlichen Investitionen in die IT-Sicherheit – gerade um kein besonders niedriges „am unteren Rande“ angesiedeltes Bußgeld handelt. Sondern um ein Bußgeld, das schlicht den Anforderungen des Art. 83 Abs. 1 und Abs. 2 DSGVO entspricht.
Und nun? Entspannt durchatmen oder entsetzt die Luft anhalten?
Klassische Juristenantwort: Das kommt drauf an.
Entspannt durchatmen können Sie selbstverständlich dann, wenn Sie bislang nach den Grundsätzen des BDSG-alt gearbeitet haben und/oder die DSGVO-Umsetzung in Ihrem Unternehmen schon voran getrieben haben.
Entspannt durchatmen können Sie eventuell auch dann, wenn Sie eventuelle Bußgelder aus der Portokasse zahlen können und der Meinung sind, eine Investition in die DSGVO-Umsetzung (nein, keine Angst, das ist nicht zwingend ein sechsstelliger Betrag!) käme Sie teurer als ein Bußgeld. Allerdings hüten Sie sich vor Milchmädchen-Rechnungen: Je mehr Geld Sie in der Portokasse liegen haben (bzw. je höher Ihre Umsätze sind, von Gewinnen redet die DSGVO nicht), desto höher fiele ein Bußgeld aus. Und um so länger Sie mit der Umsetzung der DSGVO warten und je weniger Sie wenigstens grundlegende Anforderungen erfüllen, desto weniger wird die Datenschutzbehörde begeistert sein, wenn ihr Fall auf deren Tisch landet (um es einmal salopp zu formulieren). Will sagen, auch dies führt nicht unbedingt zu niedrigen Bußgeldern. Last but not least dürfen Sie in diesem Fall auch die Honorare der hochspezialisierten Anwälte (die Sie spätestens dann und zwar sehr schnell und in hohen Umfängen brauchen) nicht vergessen.
Kurz, möglicherweise wäre präventives denn reaktives Handeln doch noch entspannter…
(Wo wir gerade dabei sind, hier der Praxisleitfaden für KMU – In acht Schritten zur DSGVO-Compliance – als ersten Einstieg ins Thema.)
Entsetzt die Luft anhalten, muss bei diesem Bußgeld niemand. Es zeigt – wie auch mannigfaltig angekündigt – dass die Datenschutzbehörden mit Augenmaß im Sinne des Art. 83 DSGVO handeln und entscheiden.
Eines ist jedoch sicher: Es wird nicht das letzte Bußgeld sein, das nach der DSGVO von deutschen Aufsichtsbehörden verhängt wurde. Und es wird auch nicht das höchste bleiben.
In diesem Sinne,
bleiben Sie datenschutzkonform! 🙂
[…] Bußgeld in Deutschland nach der DSGVO in Höhe von „nur“ 20.000 EUR verhängt – Eine Einordnu… […]
Das besondere an dem Bußgeld ist, dass es für das unzureichende Einhalten eines Sicherheitstandards verhängt wurde, welches alleine zu keinem Schaden geführt hat. Es geht dabei darum, dass Passwörter nicht im Klartext sondern nur als Hash gespeichert werden sollen. Das Speichern im Klartext führt nur dann zu einem Problem, wenn
a) Die Nutzer*innen grob fahrlässiger Weise das gleiche Passwort für verschiedene Websites verwenden und
b) Das System anderweitig gehackt wird.
Das ist vergleichbar damit, dass Anwält*innen per unverschlüsselter Mail kommunizieren, ein Hacker den Server des Mail-Provider hacked und daher die unverschlüsselten Mails mitlesen und sogar manipulieren kann. Genauso wie sich der Anbieter im vorliegenden Fall nicht damit rausreden kann, dass sein System ja per Firewall, login, Zugriffsschutz etc. geschützt gewesen war, können sich Anwälte nicht damit herausreden, dass das System ja eine Transportverschlüsselung verwenden würde. Für den Stand der Technik genügt die Ablage von Passwörtern in einer zugriffsgeschützten Datenbank eben nicht – genauso wie für sichere Kommunikation die Transportverschlüsselung nicht ausreicht.
Ja. Und nein. Es wurden zunächst Daten geleakt. 330.000 Datensätze. Nach der Meldung dieses Datenleaks stellte sich im Zuge der Ermittlung heraus (so vestehe ich die PM), dass gegen Art. 32 DSGVO verstoßen wurde. Wie ich oben schon ausführte und wie Sie hier erneut wiederholen, dies eben weil Passwörter entgegen grundlegender Sicherheitsanforderungen im Klartext gespeichert wurden. Für eine Verletzung von Art. 32 DSGVO kommt es nicht darauf an, dass aufgrund mangelnder Sicherheitsarchitektur ein Schaden entstanden ist, sondern nur darauf, ob die Anforderungen des Art. 32 DSGVO unterlaufen wurden. Das ist hier der Fall. Folglich war ein Bußgeld zu verhängen. Was daran „besonders“ sein soll, erschließt sich mir nicht.
Danke für diese sachliche unaufgeregte Einschätzung.
Als User Researcher und Forscher im Bereich Usable Privacy freue ich mich immer über solche Einordnungen, damit man sein eigenes laienhaftes Verständnis der DSGVO mit dem von Experten abgleichen kann.
Viele Grüße,
Timo Jakobi
Ich danke. Und zwar für dieses schöne Feedback. 🙂
Herzlich,
ND