Das erste nach der Datenschutzgrundverordnung (DSGVO) in Deutschland verhängte Bußgeld trifft den Social-Media-Anbieter Knuddels.de, in dessen Chatforum auch viele Jugendliche aktiv sind. Verhängt wurde es vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI). Mit einer Höhe von 20.000 Euro blieb der Datenschutzbeauftragte dabei noch weit unter dem, was er im Bußgeldrahmen maximal hätte festsetzen können.
Eine vielfache Strafzahlung wäre denkbar gewesen, nachdem im Juli 2018 durch einen Hackerangriff die Daten von rund 330.000 Knuddels-Nutzern einschließlich Passwörtern und E-Mail-Adressen entwendet und öffentlich gemacht wurden. Da die Passwörter außerdem im Klartext – unverschlüsselt und ungehasht – gespeichert waren, verstieß das Unternehmen laut LfDI „wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO“.
Bei der Bemessung des Bußgelds berücksichtigte der Datenschutzbeauftragte Stefan Brink die als konstruktiv bewertete Zusammenarbeit mit dem Unternehmen, das umgehend sowohl seine Nutzer als auch die Behörde über die Datenpanne informiert und in dieser Hinsicht die DSGVO-Vorgaben erfüllt hatte. Auch habe das Unternehmen in wenigen Wochen umfangreiche Maßnahmen umgesetzt, um ihre IT-Sicherheit zu verbessern und die Nutzerdaten nach dem aktuellen Stand der Technik zu sichern. Mit dem LfDI sei vereinbart, dass Knuddels in den nächsten Wochen weitere Maßnahmen durchführt.
„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, erklärte Brink. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“
Rechtsanwalt Christian Solmecke begrüßte die zurückhaltende Bemessung des Bußgelds. Aufgabe der Aufsichtsbehörden sei vor allem, für ein verbessertes Datenschutzniveau in Europa sowie die Sensibilisierung der Verantwortlichen zu sorgen: „Daher ist es sehr erfreulich, dass dieser erste Bußgeld-Fall vor allem zeigt, dass die Zusammenarbeit des Unternehmens mit der Behörde zu mehr Datenschutz geführt hat, ohne das Unternehmen in allzu große finanzielle Bedrängnis zu bringen.“
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
