Es ist die erste DSGVO-Bußgeldstrafe in Deutschland für einen Vorfall, der Millionen von Konten betraf.
Deutschland hat einen in der Region beliebten Dating-, Flirt- und Chat-Dienst mit einer Geldstrafe von 20.000 Euro (oder rund 22.667 US-Dollar) belegt, nachdem in diesem Sommer mehr als 1,8 Millionen Konten von einem Hack betroffen waren.
Die baden-württembergische Datenschutzbehörde gab letzte Woche bekannt, dass sie das Bußgeld verhängt hat. Es handelt sich um das erste Bußgeld im Land, das im Rahmen der EU-weiten Datenschutz-Grundverordnung verhängt wird, die im vergangenen Mai in Kraft getreten ist.
Der soziale Chat-Dienst Knuddels sah nach einem Angriff im Juli etwa 808.000 E-Mail-Adressen und über 1,8 Millionen Benutzernamen und Passwörter offengelegt; Anschließend veröffentlichten die Täter die Informationen online bei Pastebin und dem Mega-Cloud-Speicherdienst im Klartext. Eine Untersuchung der Aufsichtsbehörden ergab, dass die Website ihre Daten im Klartext ohne Sicherheitsvorkehrungen speicherte – was Knuddels bestätigte.
„Im Jahr 2012 wurde die Speicherung von Passwörtern als Hash eingeführt“, sagte das Unternehmen in seinen Message Boards (Übersetzung von Google). „Die nicht gehashte Version der Passwörter blieb jedoch ebenfalls erhalten.“
Das Unternehmen löschte schnell die ungehashte Version der Passwörter und fügte hinzu: „Es tut uns leid, dass wir diesen Schritt nicht früher unternommen haben.“
Knuddels erfuhr im September von dem Angriff, informierte seine Benutzer und deaktivierte vorübergehend alle Konten. Darüber hinaus hat sie das LfDI Baden-Württemberg gemäß DSGVO benachrichtigt und führt zusätzliche Sicherheitsmaßnahmen durch.
„Knuddels ist sicherer denn je“, sagte Holger Kujath, Geschäftsführer von Knuddels, gegenüber Spiegel Online.
Greg Silberman, Chief Privacy Officer bei Cylance, sagte gegenüber Threatpost, dass die Durchsetzung ein wenig Klarheit in die Sprache der DSGVO in Bezug auf Compliance bringt, die notorisch vage ist.
„Während sich nur einer der 99 Artikel der DSGVO mit der Sicherheit der Datenverarbeitung befasst (Artikel 32), sollte diese Geldbuße große und kleine Unternehmen daran erinnern, dass ein Teil ihrer Compliance-Verpflichtung gemäß der DSGVO darin besteht, „geeignete technische und organisatorische Maßnahmen umzusetzen.“ „um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten“, sagte er uns. „Ein Unternehmen kann die anderen 98 Artikel der DSGVO durchaus einhalten digistore24, aber wenn es keine angemessenen Sicherheitsmaßnahmen umsetzt, wird es trotzdem mit einer Geldstrafe belegt.“
Das Bußgeld wäre zwar höher ausgefallen, aber die Transparenz des Unternehmens bei der Zusammenarbeit mit der Datenschutzbehörde kam ihm zugute. Abhängig von der Schwere des Vorfalls sieht die DSGVO Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahres vor. Die Aufsichtsbehörden sagten, die Strafe sei „verhältnismäßig“.
„Wer aus Schäden lernt und transparent agiert, um den Datenschutz zu verbessern, kann als Unternehmen gestärkt aus einem Hackerangriff hervorgehen“, heißt es in einer Mitteilung des LfDI Baden-Württemberg. „Als Bußgeldbescheid ist der LfDI nicht daran interessiert, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Das Endergebnis ist die Verbesserung der Privatsphäre und Datensicherheit für die Benutzer.“
Laut Mike Bittner, Digital and Security Operations Manager bei The Media Trust, hat die DSGVO nur langsam zu erheblichen Bußgeldern geführt, aber das Blatt könnte sich dahingehend wenden.
„Die wachsende Zahl von Datenschutzbestimmungen verändert die Geschäftspraktiken in einer Weise, die unveränderlich sein wird“, sagte er per E-Mail. „In der heutigen Welt nach der DSGVO ist Datenkonformität eine Umsatzstrategie. Das bedeutet zwei wichtige Punkte: Erstens müssen alle Unternehmen eine informierte, spezifische Zustimmung der Verbraucher einholen, bevor sie ihre Daten sammeln, und zweitens müssen sie sicherstellen, dass die Daten sicher sind … Während Unternehmen möglicherweise in der Lage sind, die Strafen zu reduzieren, indem sie Transparenz und schnelle Abhilfemaßnahmen demonstrieren , und der Wunsch, mit den Regulierungsbehörden zusammenzuarbeiten, die unerwünschte Aufmerksamkeit der Medien auf das Sicherheitsproblem und die DSGVO-Sanktionen könnten das Vertrauen der Verbraucher in ihre Marke untergraben und die Einnahmen verringern.“