Was wir aus dem DSGVO-Urteil gegen Knuddels lernen können

Bevor Facebook in Deutschland populär wurde, war Knuddels eine beliebte Chat- und Flirt-Plattform in Deutschland. Nun gelangt das soziale Netzwerk erneut in die Schlagzeilen. Der Grund dafür: Gegen die Plattform wurde das erste Bußgeld aufgrund eines Verstoßes gegen die europäische Datenschutz-Grundverordnung in Deutschland verhängt.

Am 9. September 1999 ging Knuddels live. Seit nun mehr fast 20 Jahren präsentiert sich die Plattform als Anlaufstelle für Jugendliche und junge Erwachsene. Personen ab einem Alter von 14 Jahren können bei Knuddels miteinander chatten und flirten.

Den Höhepunkt erlebte die selbsternannte „Chat-Community“ Mitte der 2000er-Jahre als mehr als vier Millionen Nutzer auf der Plattform registriert waren. 2018 kam die Plattform immerhin noch auf 300.000 monatlich aktive Nutzer.

Knuddels muss erstes DSGVO-Bußgeld in Deutschland zahlen

Doch nur weil die Anzahl der aktiven Nutzer nicht mehr so hoch ist, bedeutet das nicht, dass soziale Netzwerke keine Informationen mehr über die inaktiven Nutzer haben.

Im Gegenteil: Knuddels musste im Juli 2018 einen Hacker-Angriff eingestehen, bei dem persönliche Daten von mehr als 330.000 Nutzern entwendet und wenige Monate später veröffentlicht worden sind. Dabei handelte es sich um Informationen wie Passwörter, E-Mail-Adressen und den Wohnort.

Gemäß den Regeln der europäischen Datenschutz-Grundverordnung (DSGVO) hatte die Plattform seine Nutzer und die zuständigen Behörden umgehend über den Diebstahl informiert.

Außerdem setzte Knuddels gemeinsam mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg „weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik“, wie das LfDI in einer Pressemitteilung schildert.

Die Konsequenzen der Entscheidung

Da die Betreiber der Plattform jedoch gegen Artikel 32 der DSGVO verstoßen hatten, weil sie die Daten der Nutzer nicht ausreichend gesichert hatten – einige Passwörter lagen in Klartext und unverschlüsselt vor –, sprach das LfDI ein Bußgeld in Höhe von 20.000 Euro aus.

Besonders spannend ist dabei die Argumentation der Behörde zur Berechnung der Höhe des Bußgeldes. Demnach kommt Knuddels zu Gute, dass das Unternehmen transparent gehandelt und den Vorfall sofort gemeldet hatte. Ebenfalls positiv rechnet das LfDI die hohe Kooperationsbereitschaft und schnelle Umsetzung von Maßnahmen an.

Der zuständige Landesbeauftragte Stefan Brink sagte: „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Der auf IT-, Medien- und Internet-Recht spezialisierte Anwalt Christian Solmecke ordnet in einem Beitrag den Fall wie folgt ein: „[…] Daher ist es sehr erfreulich, dass dieser erste Bußgeld-Fall vor allem zeigt, dass die Zusammenarbeit des Unternehmens mit der Behörde zu mehr Datenschutz geführt hat, ohne das Unternehmen in allzu große finanzielle Bedrängnis zu bringen.“

Auch interessant:

• Instagram-Passwörter: Eigenes DSGVO-Tool machte Zugangsdaten sichtbar
• Cookies und die DSGVO: Nur fünf Prozent der Nutzer lehnen ab
• DSGVO-konformes Inbound Marketing mit Freebie: Was ist erlaubt?
• Ein Monat DSGVO: Von Abmahnwellen, WhatsApp-Verboten und Mythen

Deine Jobbörse in der Digital-Welt

Wir tun jeden Tag, was wir lieben. Das kannst du auch! Über 20.000 Traumjobs in der IT- und Digital-Welt warten nur auf dich in der BASIC thinking-Jobbörse. Gleich reinschauen und entdecken!