Die DSGVO Bußgelder galten bislang eher als möglich statt real. Jetzt hat es den ersten „Großen“ aber erwischt. Satte 20.000 Euro muss der Betreiber von knuddels.de auf den Tisch legen.
Was zur Verhängung der hohen Geldstrafe geführt hat und wie real die Angst vor den DSGVO Bußgeldern tatsächlich sein sollte, verraten wir jetzt.
Was war noch gleich Knuddels.de?
Wer in den 90er Jahren geboren wurde, kennt knuddels.de mit hoher Wahrscheinlichkeit. Die kunterbunte Plattform war der erste richtig große Chat, der im September 1999 die Teenie-Herzen höher schlagen ließ. In zahlreichen Chat-Räumen tauschten sich Wildfremde über ihre kleinen und großen Probleme aus. Grund für den riesigen Hype um Knuddels.de war aber nicht die bloße Chat-Funktion – die gab es bei anderen schließlich auch. Nein, bei Knuddels konnte man als User etwas erreichen. So erhielten besonders aktive Chatter den Status „Family Mitglied“. Die Belohnung: die Möglichkeit, sich eine eigene Homepage innerhalb des Knuddels-Universums zu gestalten und einige Zusatzfunktionen, die „normalen“ Mitgliedern vorenthalten waren. Auch einige Art eigene Währung, die namengebenden „Knuddels“ lockten neue Mitglieder. Zu Spitzenzeiten verzeichnete die Plattform satte 4,1 Mitglieder – zur damaligen Zeit, als noch längst nicht jeder einen Internetzugang hatte, absoluter Rekord.
Aber egal ob Knuddels oder Nachfolger wie Yooliety und StudiVZ – jeder Hype hat irgendwann ein Ende und muss dem Big Player Facebook weichen. Der bunten Chat-Community blieben trotzdem noch 330.000 mehr oder weniger aktive Nutzer. Und genau deren Daten wurden jüngst gehackt. Vom Nickname über die E-Mail Adresse bis zum Passwort – plötzlich waren die sensiblen Daten der Knuddels-User öffentlich. Und die Betreiber trifft nun die volle Gewalt der DSGVO Bußgelder.
Die Höhe der DGSVO Bußgelder tut Unternehmen richtig weh
© Pixabay
DSGVO Bußgelder werden Wirklichkeit
Dr. Stefan Brink, der Landesbeauftragte für Datenschutz und Informationsfreiheit von Baden-Württemberg, hat nun das erste DSGVO Bußgeld verhängt. Mit einer Summe von 20.000 Euro bewegt man sich jedoch noch weit unter dem Betrag, der möglich gewesen wäre. Den Betreibern der in die Jahre gekommenen Plattform wird es dennoch weh tun. Der gemeine Leser mag sich jetzt vielleicht fragen, was denn die Betreiber dafür können, wenn sich fiese Hacker an der Plattform zu schaffen machen.
Die Antwort: grundsätzlich natürlich nichts. Der eigentliche Verstoß gegen den Datenschutz war die Tatsache, dass die Nutzer-Passwörter unverschlüsselt und ungehasht gespeichert worden waren. Laut dem Landesbeauftragten verstießen die Betreiber somit wissentlich gegen ihre Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten. Strafmildernd wirkte sich der Umstand aus, dass das Unternehmen Knuddels sowohl die Behörde als auch die Nutzer umgehend über den Angriff informierte und sofort daran arbeitete, die IT-Sicherheit zu verbessern. Abgeschlossen sind diese Maßnahmen übrigens immer noch nicht. Man arbeitete weiter daran, die Nutzerdaten nach dem aktuellen Stand der Technik zu sichern.
Dr. Stefan Brink ergänzt zu dem Fall: „Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen. Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“
Müssen jetzt viele Unternehmen Angst vor DSGVO Bußgeldern haben?
Die Akte Knuddels zeigt: langsam wird es ernst. Die DSGVO Bußgelder sind keine leere Drohung, sondern Realität. Wer seine Hausaufgaben in dem Fach Datenschutz also immer noch nicht gemacht hat, sollte schnellstmöglich aktiv werden. Denn eines zeigt der Fall rund um die Chat-Plattform deutlich: Es muss nicht die Anklage durch die Nutzer oder das Verpfeifen eines Konkurrenten sein. Es genügt schon, völlig unbescholten in das Visier von Hackern zu geraten, um die Härte der DSGVO zu spüren zu bekommen.
Update vom 19.11.2019: Rekord-DSGVO-Bußgeld verhängt
Gegen die Deutsche Wohnen wurde jetzt ein Rekord-Bußgeld in Höhe von 14,5 Millionen Euro verhängt. Die Wohnungsgesellschaft soll Daten von Mietern „unlöschbar“ gespeichert haben und änderte selbst nach einer offiziellen Warnung nichts an ihrem Archivsystem. Das Bußgeld ist das höchste, was bislang je verhängt wurde. Das Immobilienunternehmen hat innerhalb der vorgeschriebenen Zwei-Wochen-Frist Widerspruch gegen den Bußgeldbescheid eingelegt, heißt es in verschiedenen Berichten.
Im Archiv des Unternehmens sollen persönliche Daten von Mietern einsehbar gewesen sein, darunter Daten zu Sozial- und Krankenversicherung, Arbeitsverträge sowie Informationen über finanzielle Verhältnissen. Es bleibt abzuwarten, wie die Datenschutzbehörde auf den Widerspruch reagieren wird. Im schlimmsten Fall droht ein Gerichtsverfahren.
Update vom 23.01.2020: Bereits 114 Millionen Euro Strafgelder verhängt
Knapp 250 Meldungen über DSGVO-Verstöße gehen mittlerweile täglich bei der Datenschutzbehörde ein. Insgesamt wurden bislang Bußgelder über 114 Millionen Euro in Rechnung gestellt. In Deutschland sind stand heute 37.636 Datenlecks gemeldet worden.
Lena Klaus
Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung