Mit Einführung der DSGVO hat die Europäische Union vorrangig zwei Ziele verfolgt. Zum einen wurde ein einheitliches Rahmenwerk im Datenschutz geschaffen, zum anderen der Druck auf Unternehmen erhöht, ihn ernst zu nehmen – bei Verstößen drohen empfindliche Bußgelder. Diese Woche hat der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg, das erste Bußgeld nach der DSGVO in Deutschland verhängt. Das betroffene Unternehmen muss eine Strafzahlung in Höhe von 20.000 Euro leisten.
Im Mittelpunkt des Falls steht ein Social-Media Unternehmen. Das stellte Unternehmen fest, dass sich Hacker bereits im Juli unmittelbaren Zugriff auf Systeme verschaffen und insgesamt Datensätze von rund 330.000 Nutzern erbeuten konnten. Die Datensätze umfassen u.a. E-Mail Adressen und Passwörter.
Aufgefallen ist der Hackerangriff jedoch erst im September, woraufhin das Unternehmen die zuständige Aufsichtsbehörde bzw. den LfDI Baden-Württemberg kontaktierte. Anschließend wurde der Vorfall von der Behörde genau untersucht.
Datenschutzbehörde lobt Zusammenarbeit
Das Unternehmen hat der Behörde seine Prozesse offen gelegt. Es wurde analysiert, wie es zur Datenpanne kam bzw. sich Hacker den Zugriff auf die Daten verschaffen konnten. Anschließend wurden Maßnahmen entwickelt und umgesetzt, die einen DSGVO-konformen Datenschutz gewährleisten.
Insgesamt kommuniziert die Aufsichtsbehörde die Vorgänge sehr hoffen – nicht zuletzt verbunden mit dem Ziel, andere Unternehmen zu informieren. Wie aus der Mitteilung außerdem hervorgeht, sind dem Social-Media Unternehmen in Summe beträchtliche Kosten entstanden. Der Gesamtbetrag für Analyse, technische Maßnahmen und Bußgeld soll im sechsstelligen Bereich liegen.
Erläuterung zum Bußgeld
Für Unternehmen ist es wichtig zu verstehen, weshalb Bußgelder von Aufsichtsbehörden verhängt werden. Im besagten Fall wurde das Social-Media Unternehmen nicht bestraft, weil es gehackt wurde. Die Strafe ist auf die Tatsache zurückzuführen, dass trotz Verpflichtung keine ausreichenden Maßnahmen zum Schutz personenbezogener Daten getroffen wurden. Laut LfDI waren die Datensätze einschließlich E-Mail Adresse und Passwörtern ohne Verschlüsselung gespeichert, d.h. die Angreifer könnten die erbeuteten Daten verwerten.
Im Rahmen der Analyse wurden nicht DSGVO-konforme Prozesse aufgedeckt, anschließend hat sich das Unternehmen die notwendigen Anpassungen bemüht. Laut LfDI ist das Bußgeld in Höhe von 20.000 Euro niedrig bemessen – nicht zuletzt, weil sich das Unternehmen bei der Zusammenarbeit sehr kooperativ gezeigt hat.
Was Unternehmen aus dem Vorgang lernen können
Der Fall verdeutlicht, wie entscheidend es ist, die Datenschutzvorgaben der DSGVO zu kennen und konsequent umzusetzen. Verstöße – ob sie bewusst oder unbewusst begangen werden – können Unternehmen teuer zu stehen kommen. Außerdem zahlt sich im Ernstfall die Kooperation mit der zuständigen Aufsichtsbehörde aus. Zwar kann ein kooperierendes Unternehmen ein Bußgeld nicht zwangsläufig abwenden, aber durch positives Verhalten die Höhe beeinflussen.
Know-How vom Datenschutzexperten
Der betriebliche Datenschutz nach DSGVO ist ein umfassendes und komplexes Themengebiet. Als externer Datenschutzbeauftragter entwickeln wir für Unternehmen maßgeschneiderte Datenschutzkonzepte. Zugleich setzen wir auf praxisgerechte Lösungen, die technisch und wirtschaftlich gut umsetzbar sind. Gerne stehen wir auch Ihrem Unternehmen zur Seite – für weitere Informationen sind wir unter 0800 – 5600831 sowie über unser Kontaktformular erreichbar.