Auf der Website des LfDI BW ist die erste Veröffentlichtung zu einem Bußgeld in Deutschland ersichtlich.
EUR 20.000,-- für die unverschlüsselte Speicherung von Kennwörtern.
Im September 2018 kam es zu einer Datenpanne bei Knuddels.de. Hunderttausende Kennwörter tauchten im Internet ohne Verschlüsselung auf. Die Passwörter waren im Klartext verfügbar.
Der baden-württembergische Datenschutzbeauftragte Stefan Brink teilte am 15.11.2018 in Stuttgart mit, dass gegen den Betreiber von Knuddels.de eine Geldbuße von EUR 20.000,-- verhängt worden sei, da die Passwörter von Nutzern unverschlüsselt gespeichert worden seien. Damit hätte das Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten gesetzt.
Wie hat das LfDI BW von der Datenpanne erfahren:
Durch eine Data Breach Notifiation (Datenschutzvorfallmeldung vom 8.9.2018) wurde die Aufsichtsbehörde auf die Art und Weise der Speicherung der personenbezogenen Daten aufmerksam.
Das Unternehmen meldete, dass bei einem Hackerangriff im Juli 2018 Daten von ca 330.000 Nutzern, darunter auch Passwörter und Email-Adressen entwendet wurden, und dann Anfang September 2018 veröffentlicht wurden.
Im Rahmen der Data Breach Notification wurde der Sachverhalt umfassend offengelegt. Auch die Tatsache der mangelnden technischen und organisatorischen Maßnahmen wurde mitgeteilt, und so erfuhr das LfDI BW, dass die Passwörter der Nutzer im Klartext, sohin unverschlüsselt oder unverfremdet (ungehasht) verarbeitet hatte.
Innerhalb eines angemessenen Zeitraums hat das Unternehmen Maßnahmen zur Verbesserung der IT-Sicherheit gesetzt, und hat die Art und Weise der Speicherung der Nutzerdaten auf einen aktuellen Stand der Technik gebracht, dh auch sodann umgehend reagiert.
Zitat aus der Pressemitteilung des LfDI BW:
„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“
Kommentar schreiben