Bevor Facebook in Deutschland populär wurde, war Knuddels eine beliebte Chat- und Flirt-Plattform in Deutschland. Nun gelangt das soziale Netzwerk erneut in die Schlagzeilen. Der Grund dafür: Gegen die Plattform wurde das erste Bußgeld aufgrund eines Verstoßes gegen die europäische Datenschutz-Grundverordnung in Deutschland verhängt.
Am 9. September 1999 ging Knuddels live. Seit nun mehr fast 20 Jahren präsentiert sich die Plattform als Anlaufstelle für Jugendliche und junge Erwachsene. Personen ab einem Alter von 14 Jahren können bei Knuddels miteinander chatten und flirten.
Den Höhepunkt erlebte die selbsternannte „Chat-Community“ Mitte der 2000er-Jahre als mehr als vier Millionen Nutzer auf der Plattform registriert waren. 2018 kam die Plattform immerhin noch auf 300.000 monatlich aktive Nutzer.
Neue Stellenangebote
|
Content Management Text, Video und Bild (m/w/d) MESSRING GmbH in Krailling bei München |
|
|
Content Management Crashtest-Technologie (m/w/d) MESSRING GmbH in Krailling bei München |
|
|
Werkstudent PR / Media Management (m|w|d) MTU Aero Engines AG in München |
Knuddels muss erstes DSGVO-Bußgeld in Deutschland zahlen
Doch nur weil die Anzahl der aktiven Nutzer nicht mehr so hoch ist, bedeutet das nicht, dass soziale Netzwerke keine Informationen mehr über die inaktiven Nutzer haben.
Im Gegenteil: Knuddels musste im Juli 2018 einen Hacker-Angriff eingestehen, bei dem persönliche Daten von mehr als 330.000 Nutzern entwendet und wenige Monate später veröffentlicht worden sind. Dabei handelte es sich um Informationen wie Passwörter, E-Mail-Adressen und den Wohnort.
Gemäß den Regeln der europäischen Datenschutz-Grundverordnung (DSGVO) hatte die Plattform seine Nutzer und die zuständigen Behörden umgehend über den Diebstahl informiert.
Außerdem setzte Knuddels gemeinsam mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg „weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik“, wie das LfDI in einer Pressemitteilung schildert.
Die Konsequenzen der Entscheidung
Da die Betreiber der Plattform jedoch gegen Artikel 32 der DSGVO verstoßen hatten, weil sie die Daten der Nutzer nicht ausreichend gesichert hatten – einige Passwörter lagen in Klartext und unverschlüsselt vor –, sprach das LfDI ein Bußgeld in Höhe von 20.000 Euro aus.
Besonders spannend ist dabei die Argumentation der Behörde zur Berechnung der Höhe des Bußgeldes. Demnach kommt Knuddels zu Gute, dass das Unternehmen transparent gehandelt und den Vorfall sofort gemeldet hatte. Ebenfalls positiv rechnet das LfDI die hohe Kooperationsbereitschaft und schnelle Umsetzung von Maßnahmen an.
Der zuständige Landesbeauftragte Stefan Brink sagte: „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“
Der auf IT-, Medien- und Internet-Recht spezialisierte Anwalt Christian Solmecke ordnet in einem Beitrag den Fall wie folgt ein: „[…] Daher ist es sehr erfreulich, dass dieser erste Bußgeld-Fall vor allem zeigt, dass die Zusammenarbeit des Unternehmens mit der Behörde zu mehr Datenschutz geführt hat, ohne das Unternehmen in allzu große finanzielle Bedrängnis zu bringen.“
Auch interessant:
- Instagram-Passwörter: Eigenes DSGVO-Tool machte Zugangsdaten sichtbar
- Cookies und die DSGVO: Nur fünf Prozent der Nutzer lehnen ab
- DSGVO-konformes Inbound Marketing mit Freebie: Was ist erlaubt?
- Ein Monat DSGVO: Von Abmahnwellen, WhatsApp-Verboten und Mythen
Was hier nicht erwähnt wird, die Daten in der Datenbank waren seit über 20 Jahren im Plain Text, also ungehasht unverschlüsselt gespeichert, erst vor wenigen Jahren find man an neue Benutzer Daten zu verschlüsseln.
Justiz wieder mal eine Lachnummer, die hätten die volle Breitseite als Bußgeld bekommen sollen. Gerade weil die Umsetzung der Schutzmaßnahmen so schnell ging, ist das ein eingeständnis, das es möglich war bevor man den hack hatte. Es ist traurig, und wird nicht wirklich zur Verbesserung führen, weil andere Unternehmen ebenfalls denken werden, das man mit einem blauen Auge damit vorbei kommt