Erstes Unternehmen zahlt Bußgeld nach DSGVO-Verstoß

In der EU-Datenschutzgrundverordnung werden für Verstöße empfindlich hohe Bußgelder verhängt. Zuständig sind die nationalen Aufsichtsbehörden. Dass die im Art. 83, Abs. 5 genannten Strafen auch wirklich durchgesetzt werden, beweist nun ein erster Fall.

20.000 Euro Strafe

Zwar handelt es sich dabei nicht um einen Online-Shop, dennoch zeigt das gegen einen Chatanbieter verhängte Bußgeld, dass diese Sanktion nicht nur eine leere Drohung ist. Grund für die Strafe: Ein Verstoß gegen den Art. 32 der DSGVO, die Passwörter der Nutzer wurden unverschlüsselt gespeichert und tauchten im September im Internet auf. Es handelte sich dabei laut Unternehmen um mehr als 800.000 E-Mail-Adressen und fast 2 Millionen Passwörter und Pseudonyme.

Behörden ließen Gnade walten

Mit 20.000 Euro kam das Unternehmen noch gut weg. Grund für die vergleichsweise milde Strafe war, dass sich der Chatanbieter nach einem Hackerangriff sofort an die Datenschutzbehörden wandten und diese informierten. Auch die schnelle Verbesserung der Datensicherheit nach dem Angriff wurde positiv honoriert.

Art. 32 DSGVO – Sicherheit der Verarbeitung

Dieser Passus der Datenschutzgrundverordnung verpflichtet Unternehmen dazu, die Sicherheit personenbezogener Daten zu gewährleisten. Er verpflichtet unter anderem zur Verschlüsselung und Pseudonymisierung, zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sowie zur Gewährleistung, dass alle Daten bei einem Zwischenfall schnell wieder verfügbar sind.

Bußgelder nach DSGVO

Die Höhe des Bußgeldes bei Verstößen gegen die DSGVO kann  nach Art. 83 bis zu 20 Millionen Euro betragen, Unternehmen können mit Strafen von bis zu 4 % des kompletten Jahresumsatzes des vorhergehenden Geschäftsjahres belegt werden. Festgelegt wird das Bußgeld im Einzelfall, die Höhe ist zum Beispiel abhängig von Art, Schwere und Dauer des Verstoßes; getroffenen Maßnahmen zur Schadensminderung oder der Art der betroffenen Daten.

Quelle: heise.de