20.000 € für gehackte Passwörter und E-Mail-Adressen
Der Landesbeauftragte für Datenschutz und Informationssicherheit (LfDI) Baden-Württemberg hat noch in 2018 nach eigenen Angaben das erste Bußgeld nach DSGVO in Deutschland gegen eine mittelständische Firma verhängt. Ein Social Media Anbieter sei mit “nur” 20.000 € davon gekommen, weil er mit der Behörde umfassend kooperiert habe. Der gesamte Schaden dürfte deutlich über 100.000 EUR gelegen haben, wie die Analyse der damit verbundenen weiteren Kosten zeigt.
Datenpanne gemeldet, Nutzer informiert
Das Unternehmen hatte im September 2018 eine Datenpanne an die Behörde gemeldet, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 230.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren.
Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DSGVO §33: Meldung innerhalb von 72 Stunden) unverzüglich und umfassend über den Hackerangriff. Die Passwörter der Nutzer waren im Klartext (unverschlüsselt) gespeichert. Die zusätzlichen Kosten für die umfassende Information aller 230.000 Nutzer auf schriftlichem Wege und die Einrichtung eines Call Centers für Rückfragen der Kunden wären in einer Cyber-Versicherung abgedeckt gewesen. Darüber hinaus sind ggfs. Entschädigungszahlungen an alle Nutzer wegen der Verletzung von Persönlichkeitsrechten und immateriellen Schäden mitversichert.
Verbesserung der IT-Sicherheit
Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik, so die Behörde. Die konkrete Sicherheitsanalyse und Identifizierung der Schwachstelle sowie notwendige Verbesserungsmaßnahmen um den Stand der Technik zu erreichen, sind in den Cyber-Policen ebenfalls enthalten.
Behörden sind noch kooperativ und Strafen „verhältnismäßig“
Trotz des gravierenden Vorfalls fiel das Bußgeld der Behörde verhältnismäßig gering aus. Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DSGVO sprach die sehr gute Kooperation zwischen der Behörde und dem betroffenen Unternehmen zugunsten der Firma.
Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DSGVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein, so die Behörde. Auch die zusätzlichen Kosten durch das behördliche Verfahren und die Beratungsleistung durch spezialisierte Anwälte sind in der Cyber-Versicherung eingeschlossen.
Ein durch den Prozess oder die sozialen Netzwerke entstandener Imageschaden würde im Rahmen einer Cyberversicherung durch ein Krisenmanagement und Public-Relations-Maßnahmen (als Stichwort sollte hier „Rezo und die CDU“ reichen) deutlich reduziert.
Fazit
Ein 20.000 € Bußgeld ist ein Betrag, der vielen Unternehmen schon weh tut. Dazu kommen die Kosten des Verfahrens. Unverschlüsseltes Speichern von Passwörtern und sonstigen Daten ist ein gravierender Verstoß gegen die Pflicht zur Gewährung der Datensicherheit. Das Bußgeld wird im Verhältnis auch zur wirtschaftlichen Ertragskraft erhoben und wäre bei einem wirtschaftlich erfolgreicheren Unternehmen entsprechend höher ausgefallen.
Mit der vollständigen personellen Ausstattung der Behörden, die nunmehr in den einzelnen Bundesländern umgesetzt ist, werden auch die Anzahl an Verfahren und Bußgeldern deutlich zunehmen. Wer das Thema DSGVO im Zusammenhang mit Hackerangriffen immer noch nicht ernst nimmt, sollte spätestens jetzt aufwachen, um später hohe Kosten zu vermeiden.
Eine Cyber-Versicherung kann sowohl bei der Umsetzung der DSGVO, z.B. bei der Schulung der Mitarbeiter, als auch bei der Abwehr von ungerechtfertigten Bußgeldern, Beratungsleistungen sowie rechtlichem Beistand zur DSGVO und der Übernahme von Verfahrenskosten helfen. Darüber hinaus greift eine 24-Stunden Soforthilfe im Notfall und alle Kosten eines eigenen Schadens durch eine ungewollte (z.B. Bedienfehler) oder von außen zugefügte Netzwerksicherheitsverletzungen werden bezahlt.