Chat Knuddels.de | Bildquelle: Screenshot Knuddels.de

Nach Hackerangriff:

Karlsruher Chat-Community Knuddels.de muss wegen Datenpanne Strafe zahlen

Stand: 23.11.18 08:22 Uhr

Der Landesbeauftragte für Datenschutz Baden-Württemberg hat ein Bußgeld gegen die Karlsruher Chat-Community Knuddels.de verhängt. Ein Hackerangriff hatte offenbart, dass sie gegen die von der Datenschutzgrundverordnung vorgeschriebene Datensicherheit verstoßen hat. 20.000 Euro muss das Unternehmen zahlen. Knuddels.de hat das Problem inzwischen behoben.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den Landesbeauftragten für Datenschutz (LfDI) gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren.

Seine Nutzer informierte Knuddels.de nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen "in vorbildlicher Weise" sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen, lobt der Landesbeauftragte für Datenschutz. 

Hierdurch wurde bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters" zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung seiner IT-Sicherheitsarchitektur um und brachte damit die Sicherung seiner Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Dennoch: Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO, so der Vorwurf des Landesbeauftragten für Datenschutz.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens sei ebenso beispielhaft gewesen wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Stefan Brink, umzusetzen.

Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen", betonte Brink. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer."

WERBUNG:



Seitenanzeige: