Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat am 21. November 2018 gegen den Betreiber einer Chat Community (“Unternehmen”) eine Geldbuße in Höhe von 20.000 Euro wegen einer Verletzung der Pflichten bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Datenschutz-Grundverordnung (“DS-GVO”) verhängt. Ein höheres Bußgeld konnte vor allem durch eine sehr gute Zusammenarbeit des Unternehmens mit dem LfDI vermieden werden.
Hintergrund
Laut Presseerklärung des LfDI hatte sich das Unternehmen nach einem Hackerangriff im Sommer 2018 an den LfDI gewendet. Der Angriff führte zu einem unbefugten Zugriff und der anschließenden Veröffentlichung von personenbezogenen Daten von rund 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen.
Nach Bekanntwerden des Vorfalls informierte das Unternehmen seine Nutzer unverzüglich und umfassend über den Hackerangriff (vgl. Art. 34 DS-GVO). Im Verfahren mit dem LfDI habe das Unternehmen nach der Meldung der Datenschutzverletzung (vgl. Art. 33 DS-GVO) ihre Datenverarbeitungs- und Unternehmensstrukturen sowie ihre eigenen Fehler dem LfDI “in vorbildlicher Weise” offengelegt. Während dieser Untersuchung stellte der LfDI fest, dass das Unternehmen die Passwörter im Klartext und in einem unverschlüsselten Format gespeichert hatte.
Im Laufe des Verfahrens mit dem LfDI hatte das Unternehmen umfassende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur ergriffen, um die Sicherheit ihrer Benutzerdaten nach dem neuesten Stand der Technik zu gewährleisten. Darüber hinaus hatte sich das Unternehmen verpflichtet, in Zusammenarbeit mit dem LfDI weitere Maßnahmen zur weiteren Verbesserung des Datensicherheitsniveaus zu ergreifen.
Entscheidung des LfDI
Der LfDI stellte fest, dass das Unternehmen durch die Speicherung der Passwörter im Klartext gegen ihre Verpflichtung zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 lit. a) DS-GVO (Verpflichtung zur Pseudonymisierung und Verschlüsselung personenbezogener Daten) verstoßen hat.
Gemäß Art. 83 Abs. 4 DS-GVO kann ein solcher Verstoß gegen Art. 32 Abs. 1 lit. a) DS-GVO mit Geldbußen von bis zu 10 Millionen Euro oder bis zu 2% des weltweiten Gesamtjahresumsatzes geahndet werden (je nachdem, welcher Betrag höher ist). Für die Berechnung der Höhe des Bußgeldes gilt nach Art. 83 Abs. 1 DS-GVO allerdings, dass jede im Rahmen der DS-GVO verhängte Geldbuße wirksam, verhältnismäßig und abschreckend sein muss. In diesem Zusammenhang hat der LfDI maßgeblich die Kooperationsbereitschaft des Unternehmens, insbesondere mit Blick auf die zügige Verbesserung seiner IT-Sicherheitsarchitektur nach den Empfehlungen des LfDI berücksichtigt. Darüber hinaus hielt das LfDI dem Unternehmen zugute, dass es seine Nutzer unverzüglich in transparenter Weise über den Angriff informiert hatte. Schließlich trug das der LfDI in der Bemessung des Bußgeldes dem Umstand Rechnung, dass der Vorfall und die anschließenden Sicherheitsmaßnahmen zu zusätzlichen Kosten für das Unternehmen führte. Insgesamt kam das LfDI zu dem Schluss, dass eine Geldbuße von 20.000 Euro angemessen sei, um die Zuwiderhandlung zu sanktionieren.
Der LfDI erklärte dazu: “Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.”
Es ist nicht zu erkennen, ob im Bußgeldverfahren § 43 Abs. 4 BDSG zur Anwendung kam. Gemäß dieser Bestimmung darf die Meldung einer Datenpanne nach Art. 33 DS-GVO nicht ohne Zustimmung des betreffenden Unternehmens im Rahmen eines Bußgeldverfahrens verwendet werden. Nach Ansicht einiger Datenschützer steht diese Bestimmung allerdings nicht im Einklang mit den Vorgaben der DS-GVO und ist daher nicht anwendbar. Diese Rechtsaufassung wurde allerdings noch nicht gerichtlich bestätigt.
Der “perfekte Sturm”
Erst vor Kurzem wurde anlässlich der iapp-Konferenz in München Thomas Kranig, Präsident der bayerischen Landesdatenschutzbehörde, nach dem ersten von seiner Behörde zu erwartenden Bußgeld befragt. Er antwortete, dass man für ein solches Bußgeld auf den “perfekten Fall” hoffe, der sowohl für die breite Öffentlichkeit relevant sei als auch die richtige Botschaft vermittelt. Der aktuelle vom LfDI beurteilte Fall kann vor diesem Hintergrund gewissermaßen als “perfekter Sturm” betrachtet werden, weil er direkt Verbraucher betrifft und den Bereich der sozialen Medien betrifft, der derzeit sowohl im Fokus der Datenschutzbehörden als auch der Öffentlichkeit steht.
Hinter der publikumswirksamen Veröffentlichung der Verhängung des Bußgeldes im vorliegenden Fall kann die Absicht vermutet werden, eine umfassendere Botschaft zu vermitteln: Wenn Unternehmen mit den Datenschutzbehörden kooperieren, werden sich die Geldbußen in einem tolerierbaren Umfang bewegen. Diese Botschaft steht im Einklang mit früheren Handlungen der deutschen Aufsichtsbehörden unter dem bisherigen Rechtsrahmen des alten BDSG. Danach ermöglichten es Zusammenarbeit, Transparenz und dokumentierte Bereitschaft zur Einführung neuer, datenschutzkonformer Prozesse ermöglichten Unternehmen, Geldbußen in relativ moderater Höhe auszuhandeln und zu vereinbaren.
Kooperation oder Rechtsstreit?
Dies wird zu der derzeit laufenden Debatte um “Kooperation oder Rechtsstreit (Litigation)” in Sachen Datenschutz beitragen. Einige Kommentatoren (siehe z.B. Härting) haben bereits auf Schwächen in den Befugnissen der Aufsichtsbehörden bei der Versendung informeller Compliance-Fragebögen hingewiesen und zur Vorsicht und Zurückhaltung bei der Offenlegung von Mängeln in der Compliance gemahnt. Die jüngste Entscheidung des LfDI und die veröffentlichten Gründe für die niedrig angesetzte Geldbuße sollen hingegen ganz offensichtlich zur engeren Zusammenarbeit mit den Aufsichtsbehörden motivieren.
Der europäische Kontext
Die vom LfDI verhängte Geldbuße ist die dritte öffentlich gemachte Geldbuße, die von einer europäischen Datenschutzbehörde wegen einer Verletzung der DS-GVO verhängt wird: Im Juli 2018 verhängte die portugiesische Aufsichtsbehörde (“CNPD”) eine Geldbuße in Höhe von 400.000 Euro gegen ein Krankenhaus, weil es den unbefugten Zugriff auf Patientendaten aufgrund unzureichender Zugriffskonzepte nicht verhindert hat. Im Oktober 2018 verhängte die österreichische Datenschutzbehörde eine Geldbuße in Höhe von 4.800 Euro gegen ein Unternehmen wegen des Einsatzes von Videoüberwachung im öffentlichen Raum ohne angemessene Hinweisbeschilderung und Datenschutzinformationen.
Lessons learned
Aus der vorliegenden Durchsetzungsmaßnahme des LfDI können insbesondere die folgenden Lehren gezogen werden:
- Prozesse zur schnellen Erkennung und Meldung von Datenschutzverletzungen sind von größter Bedeutung (siehe auch unseren Beitrag zur Meldung von Datenpannen an die Aufsichtsbehörden).
- Unternehmen sollten darauf vorbereitet sein, dass die Meldung einer Datenschutzverletzung die Tür für weitere behördliche Untersuchungen öffnen könnte, obwohl dies bei kleineren Verstößen weniger wahrscheinlich ist (in diesem Fall wurden allerdings Passwörter von 330.000 Benutzern als Folge eines böswilligen Angriffs verloren und die unverschlüsselte Speicherung dieser Passwörter trug dazu bei).
- Unternehmen müssen ferner lernen, die Auswirkungen auf die Unternehmensreputation zu bewältigen. Das LfDI sprach in seiner Stellungnahme lediglich von einem “Social Media Provider”. Die Medien identifizierten jedoch schnell den Namen des betroffenen Anbieters. Durch geschickte Kommunikation kann durch einen solchen Vorfall aber letztlich auch eine positive Botschaft gesendet werden: Durch die Zusammenarbeit mit den Aufsichtsbehörden kann eine hohe Datenschutzbereitschaft signalisiert und damit eine Darstellung als “Good Corporate Citizen” erreicht werden.