Nach einem Hackerangriff auf die Chatplattform Knuddels wurden über 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und in Klartext gespeicherte Passwörter veröffentlicht. Die Aufsichtsbehörde hatte daraufhin lediglich eine Strafe von 20.000 EUR verhängt, berichtete heise online am 22.11.2018.
Ein Lob bei grober Fahrlässigkeit?
Laut Bericht soll der Datenschutzbeauftragte von Baden-Württemberg Stefan Bring die vorbildliche Zusammenarbeit mit dem Unternehmen gelobt haben. Das Versprechen der Besserung und die Kooperationsbereitschaft sollen die Aufsichtsbehörde dazu bewogen haben, sich auf eine Geldbuße von 20.000 EUR zu beschränken.
In Art. 33 DSGVO - Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und Art. 34 DSGVO - Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person steht ganz klar, was bei einer Verletzung vom Unternehmen aus zu tun ist. Wenn das Unternehmen sich daran hält und nicht dagegen verstößt, ist das nicht vorbildlich, sondern einfach DSGVO-konform und selbstverständlich. Nicht mehr und nicht weniger.
Passwörter in Klartext? Das ist nicht Stand der Technik
Jedes Unternehmen ist laut Art. 32 DSGVO - Sicherheit der Verarbeitung verpflichtet, die Verarbeitung von personenbezogenen Daten nach dem Stand der Technik durchzuführen. Passwörter in Klartext zu speichern, entspricht definitiv nicht dem Stand der Technik. Das ist aus meiner Sicht grob fahrlässig und sollte mit viel mehr als 20.000 EUR Strafe geahndet werden.
Laut golem.de will Knuddels.de für die Geldstrafe und die anstehende Verbesserung der IT-Sicherheit einen sechsstelligen EURO-Betrag in die Hand nehmen. Wenn also 20.000 EUR Geldstrafe bezahlt und wenigstens 80.000 EUR in den Stand der Technik investiert werden, ist das zwar eine beachtliche Summe, aber längst überfällig.
Datenschutz-Folgenabschätzung
Was im alten Bundesdatenschutzgesetz mit "Vorabkontrolle" und "Prüfung der Zuverlässigkeit" umschrieben wurde, regelt In Art. 35 DSGVO - Datenschutz-Folgenabschätzung steht im Abs. 7 lit. d) »Die Folgenabschätzung enthält zumindest Folgendes: die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.«
Bei einer ordentlich durchgeführten Datenschutz-Folgenabschätzung wäre aufgefallen, dass der Knuddels-Onlinedienst die Passwörter schlicht im Klartext speichert und unbefugten Zugriffen so Tür und Tor öffnet. Kennwortverschlüsselung und Authentifizierungssicherheit sind bekanntlich zentrale Themen des Datenschutzes.
Fazit
Wer personenbezogene Daten in großen (oder auch schon in kleinen) Mengen verarbeitet und keine oder nur eine oberflächliche Datenschutz-Folgenabschätzung durchführt, handelt grob fahrlässig.