Latham & Watkins verteidigt Chatportal erfolgreich in Datenschutzverfahren

DSGVO-Bußgeldverfahren

22. November 2018

Die internationale Wirtschaftskanzlei Latham & Watkins LLP hat die Knuddels GmbH & Co. KG, den Betreiber der deutschsprachigen Chatcommunity Knuddels.de, erfolgreich in einem DSGVO-Bußgeldverfahren um gestohlene Nutzerdaten verteidigt. Der maximale Bußgeldrahmen der DSGVO sieht Geldbußen von bis zu EUR 20 Mio. oder 4% des Umsatzes des vorangegangenen Geschäftsjahres vor. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg verhängte ein Bußgeld in Höhe von EUR 20.000 gegen die Latham & Watkins-Mandantin Knuddels. Im Juli 2018 hatten bislang unbekannte Täter das Chatportal gehackt und dabei 1,8 Millionen Datensätze erbeutet, darunter auch eine Datei mit unverschlüsselten Passwörtern.


Der LfDI begründetet die niedrige Geldstrafe unter anderem mit der sehr guten Kooperation des Unternehmens mit der Behörde. Zudem sei die Übertragung der Netzdaten nicht auf Veranlassung von Knuddels, sondern durch einen externen Hackerangriff erfolgt, bei dem der Betreiber selbst nicht unerhebliche Nachteile erlitten habe. Von den entwendeten Datensätzen wurden Anfang September 2018 zunächst 8.000 Nutzerdaten, darunter auch Passwörter und E-Mailadressen, auf einem Internetportal veröffentlicht. Ein weiterer Datensatz mit 1,8 Mio. Nutzerdaten, darunter Pseudonyme, Passwörter und E-Mail-Adressen, wurde ebenfalls Anfang September auf einer anderen Plattform im Netz veröffentlicht.


Die Behörde berücksichtigt in dem Bußgeldbescheid, dass sich das Unternehmen nach Bekanntwerden des Hackerangriffs um schnellstmögliche und umfassende Transparenz bemüht hat. Damit hat das Unternehmen dazu beigetragen, den Sachverhalt vollumfänglich aufzuklären und substanzielle Fortschritte bei der Datensicherheit zu erzielen, heißt es in dem Bescheid. Bußgeldmildernd sei ebenfalls zu werten, dass Knuddels keinerlei wirtschaftliche Vorteile gezogen oder beabsichtigt habe. Daneben sei zu Gunsten von Knuddels zu sehen, dass die Datenverarbeitung in der Vergangenheit keinerlei Grund zu Beanstandungen gegeben habe.

 
„Die niedrige Höhe des Bußgeldes trägt der Tatsache Rechnung, dass unsere Mandantin nach Aufdeckung des Hackerangriffs schnell und richtig gehandelt hat. Entscheidend war auch die Verteidigungsstrategie, umfassend und transparent mit der Datenschutzbehörde zu kooperieren“, kommentiert Tim Wybitul, Partner bei Latham & Watkins und einer der führenden Datenschutzexperten in Deutschland, das Urteil. Knuddels habe zudem schon während des Bußgeldverfahrens umfassende Investitionen getätigt, um Nutzerdaten optimal zu sicher.


„Die Entscheidung der Behörde ist ein erster Warnruf für die Wirtschaft. Heute kann jedes Unternehmen sehr schnell und unerwartet Opfer von Hackerangriffen oder anderen Cyber Security Threats werden. Bei Fehlern im Umgang mit personenbezogenen Daten drohen hohe Bußgelder. Daher sollten Unternehmen bei ihren Notfallplänen für solche Vorfälle nicht nur an die IT-Sicherheit, sondern unbedingt auch an die datenschutzrechtliche Aufarbeitung und Verteidigung gegen Bußgelder denken“, ergänzt Wybitul.

Latham & Watkins hat mit folgendem Team beraten:
Tim Wybitul (Partner, Federführung), Dr. Wolf-Tassilo Böhm, Isabelle Brams (beide Associates, alle Datenschutz, Frankfurt), Prof. Dr. Thomas Grützner (Partner, Litigation, München).

 
 
Hinweis: Wir freuen uns über Ihr Interesse an Latham& Watkins. Falls sich dieses auf eine Rechtssache bezieht und Sie nicht bereits ein gegenwärtiger Mandant der Kanzlei sind, bitten wir darum, uns noch keine vertraulichen Informationen zu übermitteln. Bevor wir ein Mandat annehmen können, müssen wir prüfen, ob die Mandatsübernahme zulässig ist, und die dafür geltenden Bedingungen vereinbaren. Bevor dies nicht geschehen ist, wird keine Mandatsbeziehung begründet und es besteht daher auch keine Vertraulichkeitsverpflichtung hinsichtlich der von Ihnen möglicherweise übermittelten Informationen. Wir bedanken uns für Ihr Verständnis.