Einer Pressemittteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) zufolge ist das erste Bußgeld auf Basis der DSGVO verhängt worden.

Der Vorfall wird wie folgt dargestellt:
„Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.“

In Anbetracht der Menge der Daten kann man hier wohl von einem milden Urteil sprechen, da der Rahmen der DSGVO Bußgelder bis 20 Mio. EUR vorsieht. Ferner ist zu beachten, dass hier ein Unternehmen nicht wegen eines „Formfehlers“ (z.B. fehlende Dokumentation der Informationssicherheit) bestraft wird, sondern wegen einem konkreten Fall eines Datenverlustes, allerdings gepaart mit der fehlenden Verschlüsselung der Daten.

Ob diese Strafe jetzt gerechtfertigt ist, zu gering oder zu hoch angesetzt ist, ist ein Aspeckt, der von der Anwältin Nina Diercks hier beleuchtet wird. Wer sich dafür interessiert, wie es zu dieser Panne gekommen ist, der kann hier nachlesen.