Im Mai ging die Datenschutzgrundverordnung an den Start. Die Aufregung war groß. Kleine Unternehmen, Vereine und ganz normale User waren unsicher, ob sie bald eine Klage am Hals hätten. Zum ersten Mal wird in Deutschland ein Bußgeld auf Basis der Verordnung verhängt: 20.000 Euro sind fällig, erzählt unser Netzreporter Andreas Noll.

Die Strafe muss der Karlsruher Chat-Anbieter Knuddels zahlen, berichtet unter anderen das Tech-Blog Golem. Das Unternehmen hat gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. 20.000 Euro ist natürlich viel Geld, aber doch eine relativ milde Strafe.

Fahrlässiger Umgang mit Nutzerdaten

Denn Knuddels ist ziemlich sorglos mit Nutzerdaten umgegangen. Im September 2018 wurde bekannt, dass die Zugangsdaten von fast zwei Millionen Knuddels-Accounts geleakt wurden - dazu zählten auch rund 330.000 verifizierte E-Mail-Adressen, sagt Andreas Noll.

"Das Datenleck war für die Firma ein Super-Gau."
Andreas Noll, Deutschlandfunk-Nova-Netzreporter

Für das Unternehmen war der Angriff ein Desaster. Die Angreifer waren an nicht verschlüsselte Passwörter der Accounts gelangt. Das heißt, Passwörter wurden im Klartext gespeichert - das gilt in der Branche als extremst fahrlässig. Eigentlich werden nur noch die Hashes der Passwörter gespeichert - also verschlüsselte Zeichenketten. Das ist deutlich sicherer.

Knuddels versprach Besserung

Dass das Strafmaß relativ gering ausgefallen ist, liegt daran, dass das Unternehmen selbst die Datenschützer über das Datenleck informiert und dann eng mit dem baden-württembergischen Datenschutzbeauftragten kooperiert hatte. Außerdem sicherte Knuddels zu, viel Geld in eine verbesserte IT-Sicherheit zu investieren - und zwar auf Grundlage der Empfehlungen und Vorgaben des Datenschutzbeauftragten.

Die DSGVO sieht aber eigentlich vor, dass die Bußgelder abschrecken sollen. Die Datenschützer können im Rahmen der Verordnung bei schweren Verstößen Geldbußen in Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes verhängen.

Die Bußgelder sind bislang relativ gering

Doch vielleicht haben die Datenschutzbehörden auch ein Interesse daran, den Horrorszenarien entgegenzutreten, die von Kritikern der Datenschutzverordnung vorab in die Debatte eingebracht wurden. Die Bußgelder bleiben relativ gering - vor allem, wenn die Unternehmen nach Verstößen eng kooperieren.

Das zeigt auch der Blick nach Österreich. Dort gab es zwar über tausend Beschwerden, aber es wurden nur drei Strafen verhängt. Die lagen zwischen 300 und 4000 Euro. Das heißt, auch in Österreich fallen die Bußgelder vergleichsweise glimpflich aus.

Wie das jedoch bei großen Tech-Unternehmen wie Google oder Facebook aussehen sollte, falls es zu Verstößen gegen die DSGVO kommt, wird sich zeigen.

Mehr zum Thema auf Deutschlandfunk Nova: