Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat wegen eines Verstoßes gegen die in Art. 32 DSGVO normierte Datensicherheit am 21.11.2018 das erste Bußgeld in Höhe von 20.000€ verhängt.
Das Unternehmen hatte sich nach einem Hackerangriff an das LfDI gewandt, bei dem personenbezogene Daten von ca. 330.000 Nutzern entwendet und veröffentlich worden waren. Die betroffenen Benutzer wurden nach den Vorgaben der DSGVO informiert und das Unternehmen hat bereits innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer Sicherheits-IT umgesetzt.
LfDI lobt hervorragende Zusammenarbeit
Das mit 20.000€ der Bußgeldrahmen des Art. 83 Abs. 4 DSGVO lange nicht ausgeschöpft ist, lag an der guten Zusammenarbeit des Unternehmens mit der LfDI. So wurden Datenverarbeitungs- und Unternehmensstrukturen sowie eigene Versäumnisse offen gelegt. Hierdurch wurde bekannt, dass Passwörter ohne eine Verschlüsselung oder Verfremdung gespeichert wurden. Damit verstieß das Unternehmen klar gegen die Obliegenheit der Datensicherheit im Rahmen der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit. a DSGVO. Neben der guten Zusammenarbeit wurde auch der Gesamtrahmen der finanziellen Belastung, wie Maßnahmen zur IT-Sicherheit des Unternehmens bei der Festlegung des Bußgeldes beachtet. Wie Dr. Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg hierzu sagte, soll es nicht darum gehen möglichst hohe Bußgelder zu verteilen sondern den Datenschutz und die Datensicherheit von betroffenen Nutzern zu verbessern.