Wie der der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) heute informiert, ist das erste Bußgeld der Behörde auf Basis der DSGVO verhängt worden.
Die Höhe des Bußgeldes beträgt 20.000,00 €.
Laut Pressemitteilung der Behörde lag dem Bußgeld folgender Sachverhalt zugrunde:
Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.
Es dürfte kein Geheimnis sein, dass es sich bei dem Unternehmen um den Anbieter von „Knuddels“ handelt, einem Anbieter einer Chat-Community aus Karlsruhe.
Einen Bericht zu den Hintergründen des Vorfalls, der zu einem Bußgeld geführt hat, kann hier nachgelesen werden.
In Anbetracht des Umfangs des Sicherheitsvorfalls ist das Bußgeld sehr milde ausgefallen. Nach Angaben des LfDI BW war hier vor allem auch die gute Kooperation des betroffenen Unternehmens zu berücksichtigen gewesen.
Außerdem sei bei der Bemessung des Bußgeldes „neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen“ zu berücksichtigen gewesen, so der LfDI BW.
