Latham & Watkins verteidigt Chatportal in Datenschutzverfahren

Im Juli 2018 wurde das Chatportal „Knuddels.de“ Opfer eines Hackerangriffs. Bislang unbekannte Täter erbeuteten rd. 1,8 Mio. Datensätze, darunter auch eine Datei mit unverschlüsselten Passwörtern, und veröffentlichten die sensiblen Daten später im Internet. Der Portalbetreiber Knuddels GmbH & Co. KG musste sich daraufhin vor dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg verteidigen.

Dabei vertraute Knuddels auf ein Team von Latham & Watkins um die Partner Tim Wybitul (Datenschutz, Frankfurt) und Thomas Grützner (Litigation, München). Mit Erfolg: Statt dem in der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) eigentlich vorgesehenen hohen Bußgeld von bis zu 20 Mio. Euro bzw. 4% des Jahresumsatzes verhängte die Behörde „lediglich“ eine Strafe von 20 000 Euro.

Der LfDI begründete die niedrige Geldstrafe u. a. mit der sehr guten Kooperation des Unternehmens mit der Behörde.  Zudem sei die Übertragung der Netzdaten nicht auf Veranlassung von Knuddels, sondern durch einen externen Hackerangriff erfolgt, bei dem der Betreiber selbst nicht unerhebliche Nachteile erlitten habe. Die Behörde berücksichtigte, dass sich das Unternehmen nach Bekanntwerden des Angriffs um umfassende Transparenz bemüht und bereits während des Verfahrens in den Datenschutz investiert hat. Damit habe Knuddels dazu beigetragen, den Sachverhalt vollumfänglich aufzuklären und substanzielle Fortschritte bei der Datensicherheit zu erzielen, heißt es in dem Bescheid. Bußgeldmildernd sei zudem, dass Knuddels keinerlei wirtschaftliche Vorteile gezogen oder beabsichtigt habe. Daneben sei zu Gunsten des Portals zu sehen, dass die Datenverarbeitung in der Vergangenheit keinerlei Grund zu Beanstandungen gegeben habe.

Für Latham & Watkins-Partner Tim Wybitul zeigt der Ausgang des Verfahrens, wie wichtig die Kooperation mit den Behörden im Fall einer Datenschutzrechtsverletzung ist. Dennoch sei die Entscheidung ein Warnruf für die Wirtschaft: „Unternehmen sollten bei ihren Notfallplänen für solche Vorfälle nicht nur an die IT-Sicherheit, sondern unbedingt auch an die datenschutzrechtliche Aufarbeitung und Verteidigung gegen Bußgelder denken“, so der Rat des Experten.