Passwörter der Nutzer unverschlüsselt gespeichert
Das Unternehmen hatte sich am 08.09.2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Seine Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) über den Hackerangriff. Gegenüber dem LfDI legte es Datenverarbeitungs- und Unternehmensstrukturen sowie eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sogenannten "Passwortfilters" zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.
Maßnahmen zur Verbesserung der IT-Sicherheitsarchitektur positiv berücksichtigt
Durch die Speicherung der Passwörter im Klartext habe das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 lit a DS-GVO verstoßen. Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO habe sich die Kooperation mit dem LfDI zu Gunsten des Unternehmens ausgewirkt. Der LfDI lobte die Transparenz des Unternehmens und die Bereitschaft, die Vorgaben und Empfehlungen umzusetzen. Auf diese Weise sei in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert worden. In Abstimmung mit dem LfDI werde die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut, heißt es in der Mitteilung. Bei der Bemessung der Geldbuße sei neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt worden.