IPT Germany

Datenschutzaufsicht in Baden-Württemberg verhängt erstes Bussgeld nach DS-GVO

By / / Bußgeld, Data Protection, DS-GVO, DSGVO, GDPR, IT/Datenschutz

Von Jan Spittka und Andreas Rüdiger

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat als erste deutsche Datenschutz Aufsichtsbehörde ein Bußgeld nach der DS-GVO verhängt. Das Bußgeld in Höhe von € 20.000 sanktioniert den Verstoß eines Social-Media-Unternehmens gegen seine Pflicht zur Gewährleistung der Datensicherheit gemäß Art. 32 Abs. 1 Buchst. a DS-GVO (Plicht zur Pseudonymisierung und Verschlüsselung personenbezogener Daten).

English Summary:

The State Commissioner for Data Protection and Freedom of Information Baden-Wuerttemberg (LfDI) was the first German data protection authority to impose a fine under the GDPR. The fine of € 20,000 sanctions the violation by a social media company of its obligation to ensure data security of processing of personal data pursuant to Art. 32 (1) (a) GDPR (obligation to pseudonymise and encrypt personal data) – click here for the complete English version.

Verstoss gegen Datensicherheit

Das Unternehmen hatte sich nach einem Hackerangriff, bei dem Passwörter und E-Mail-Adressen von ca. 330.000 Nutzern entwendet und veröffentlich wurden, mit einer Datenpannenmeldung an den LfDI gewandt. Dabei stellte sich heraus, dass das Unternehmen die Passwörter ihrer Kunden nicht gehasht, sondern im Klartext gespeichert und damit gegen Art. 32 DS-GVO verstoßen hat.

Grundsätzlich können bei derartigen Verstößen nach Art. 83 Abs. 4 Buchst. a) DS-GVO Bußgelder in Höhe von bis zu € 10 Millionen oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweiten erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem welche der Beträge höher ist. Nach Angabe des LfDI sprach die sehr gute Kooperation und die Bereitschaft des Unternehmens, Vorgaben und Empfehlungen des LfDI umzusetzen, bei der Bemessung des Bußgeldes in besonderem Maße zu Gunsten des Unternehmens.

Kein Beweisverwertungsverbot?

Anscheinend hat der LfDI die Vorschrift des § 43 Abs. 4 BDSG nicht angewendet, nach der die Meldung einer Datenpanne nach Art. 33 DS-GVO in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen nur mit dessen Zustimmung verwendet werden darf. Der LfDI hat in der Vergangenheit die Auffassung vertreten, dass das Verwendungsverbot nicht DS-GVO-konform sei.

Das Bußgeld ist das dritte EU-weit bekannt gewordene. Bislang wurden auch in Österreich (€ 4.800 wegen unzulässiger Videoüberwachung) und Portugal (€ 400.000 wegen schlechtem Datenzugriffskonzept) Bußgelder nach der DS-GVO verhängt.

Linkedin-in Twitter Facebook-f Instagram Youtube Weixin

© 2019 DLA Piper. DLA Piper is a global law firm operating through various separate and distinct legal entities. For further information about these entities and DLA Piper's structure, please refer to the Legal Notices page. All rights reserved. Attorney advertising.