Das 1999 gegründete Chatportal Knuddels ist der erste Fall in Deutschland, der Bußgeld zahlen muss wegen eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO). Konkret hatten Hacker bei dem Unternehmen Daten von 330.000 Nutzern – Passwörter, E-Mail-Adressen und Pseudonyme – gestohlen und offengelegt. Möglich war dies, weil die Passwörter dort in unverschlüsselter Form auf dem Server gespeichert waren. Nach dem Angriff hatte sich das Karlsruher Unternehmen an die baden-württembergische Datenschutzbehörde (LfDI) gewandt.

Diese verhängte nun ein Bußgeld von 20.000 Euro. "Die Höhe des Bußgeldes ist dank der Kooperation des Unternehmens mit der Behörde überraschend gering ausgefallen", sagt Stefan Schuppert von der internationalen Wirtschaftskanzlei Hogan Lovells. Denn der Rahmen für Bußgelder sei mit der seit 25. Mai gültigen DSGVO von 300.000 auf jetzt maximal 20 Mio. Euro gestiegen.

Schnelle Reaktionen nötig

"Die Entscheidung des LfDI ist eine klare Ansage: Unternehmen, die voll mit der Aufsichtsbehörde kooperieren und alle Fakten auf den Tisch legen, werden mit 'mildernden Umständen' rechnen können", betont Schuppert, der Partner der Sozietät in München ist. Dieses Signal sei ihm zufolge wichtig, da viele Unternehmen zurückhaltend seien bei Meldungen zu Datenpannen oder bei Antworten auf allgemeine Anfragen der Behörden. Zudem, so ergänzt sein Kollege Henrik Hanßen, Senior Associate in der Kanzlei mit Sitz in Hamburg, würden nicht alle Unternehmen einer Aussage, bei Ihnen seien jetzt alle Abläufe DSGVO-konform, zustimmen.

Aus dem aktuellen Fall könne man lernen: Bei Datenpannen muss ich schnell reagieren und, wo gesetzlich geordert, innerhalb des engen Zeitfensters die Datenpanne bei den Behörden melden", so Schuppert. Hier könne man schon Pluspunkte sammeln, wenn man zeige, dass die internen Abläufe funktionieren. Danach müsse man die Ursache analysieren sowie – auch mit der Behörde zusammen – Verbesserungen überlegen und, wo nötig, auch umsetzen, rät Hanßen. Dies gelte für jedes Unternehmen: Passwörter von Mitarbeitern, Nutzern oder Geschäftspartnern gibt es in jedem Unternehmen.

Weitere Fälle in der EU

Insgesamt handelt es sich bei Knuddels um die dritte öffentlich gewordene Geldbuße, die von einer europäischen Datenschutzbehörde wegen der Verletzung der DSGVO verhängt wurde: Im Juli 2018 musste ein Krankenhaus 400.000 Euro zahlen, weil es den unbefugten Zugriff auf Patientendaten nicht verhinderte. Im Oktober verhängte die österreichische Datenschutzbehörde eine Geldbuße von 4800 Euro gegen ein Unternehmen für den Einsatz von Videoüberwachung im öffentlichen Raum ohne angemessene Transparenz und Benachrichtigung. (sg)