Nach einem Hackerangriff bei Knuddels.de wurden über 808.000 E-Mail-Adressen, 1.872.00 Pseudonyme und in Klartext gespeicherte Passwörter veröffentlicht. Die Aufsichtsbehörde hatte darauf hin lediglich eine Strafe von 20.000 EUR verhängt, berichtete heise online am 22.11.2018.

Warum bei grober Fahrlässigkeit loben?

Laut Bericht soll der Datenschutzbeauftragte von Baden-Württemberg, Herr Stefan Bring, die vorbildliche Zusammenarbeit mit dem Unternehmen gelobt haben. Das Gelob der Besserung, im Zusammenhang mit der vorbildlichen Zusammenarbeit, soll die Aufsichtsbehörde dazu bewogen haben, eine Geldstrafe von lediglich 20.000 EUR zu verhängen.

In Art. 33 DSGVO - Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und Art. 34 DSGVO - Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person steht ganz klar, was bei einer Verletzung vom Unternehmen aus zu tun ist. Wenn man sich als Unternehmen bei einer Verletzung daran hält, ist das nicht vorbildlich, sondern DSGVO-konform und selbstverständlich. Nicht mehr und nicht weniger.

Passwörter in Klartext ist nicht Stand der Technik

Jedes Unternehmen ist laut Art. 32 DSGVO - Sicherheit der Verarbeitung verpflichtet, die Verarbeitung von personenbezogene Daten nach dem Stand der Technik durchzuführen. Passwörter in Klartext speichern zählt definitiv nicht als Stand der Technik. Das ist aus meiner Sicht sogar grob fahrlässig und sollte mit weitaus mehr als 20.000 EUR Strafe geahndet werden.

Laut golem.de will Knuddels.de für die Geldstrafe und anstehende Verbesserung der IT-Sicherheit einen sechsstelligen EURO-Betrag in die Hand nehmen. Wenn also 20.000 EUR Geldstrafe bezahlt und wenigstens 80.000 EUR in IT-Sicherheit investiert werden, ist das sicherlich kein Pappenstiel, sondern schon eine durchaus beachtliche Summe und längst überfällig.

Datenschutz-Folgenabschätzung

In Art. 35 DSGVO - Datenschutz-Folgenabschätzung steht im Abs. 7 lit. d) »Die Folgenabschätzung enthält zumindest Folgendes: die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.«

Bei einer ordentlich durchgeführten Datenschutz-Folgenabschätzung wäre aufgefallen, dass Passwörter im Klartext gespeichert werden.

Was hat Knuddels gemacht, oder was nicht? Eine Datenschutz-Folgenabschätzung scheinbar nicht.

Fazit

Wer personenbezogene Daten in großen (auch schon in kleinen) Mengen verarbeitet und keine oder nur eine oberflächliche Datenschutz-Folgenabschätzung durchführt, handelt grob fahrlässig.

Unterstützung

Sollten Sie Unterstützung bei der Durchführung einer Datenschutz-Folgenabschätzung benötigen oder Fragen dazu haben, kontaktieren Sie mich unter 030 - 280 400.

Manfred Wöller
Datenschutzbeauftragter (TÜV)