Tyskland udsteder sin første GDPR-bøde

Illustration: Baden-Württemberg
Datingsite havde adgangskoder liggende i klartekst og i ikke-krypteret format. Det får selskabet bag nu et GDPR-bøde for.

Virksomheden Knuddels, der driver et datingsite, har som den første tyske organisation fået en bøde på 20.000 euro for et brud på EU's persondataforordning.

Det skriver Computerworld.

Hackere stjal i sommer 330.000 brugeres data og lagde det i september offentligt frem.

Nu har de tyske myndigheder i delstaten Baden-Württemberg udstedt en bøde til Knuddels på de nævnte 20.000 euro.

Ifølge Computerworld har efterforskningen vist, at Knuddels havde adgangskoder liggende i klartekst og i ikke-krypteret format

Ifølge de tyske datamyndigheder har virksomheden været »meget samarbejdsvillig«.

»Virksomheden har gennemført omfattende foranstaltninger til forbedring af it-sikkerhedsarkitekturen inden for et par uger. Derudover vil selskabet iværksætte yderligere foranstaltninger til yderligere at forbedre datasikkerheden i de kommende uger i koordination med LfDI (det tyske datatilsyn, red),« lyder det ifølge Computerworld fra Datatilsynet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nicolaj Rosing

Ufatteligt at der stadig er nogen i 2018 der gemmer passwords i clear text. Der er ingen grund til ikke at ikke at hashe passwords overhovedet. Der er derimod al mulig grund til at gøre det nu hvor GDPR er indført, selvom 20k € lyder billigt sluppet når den lækkede mængde data er 300k records. De grove tilfælde af overtrædelse straffes med 2% og i gentagne særligt grove tilfælde op til 4% af virksomhedens globale omsætning, men måske er dating sites slet ikke så god en forretning som det lyder?

Morten Andersen

Hej Nicolaj, det med de hhv. 2% og 4% af omsætningen har altid været "maksimale beløb" ikke minimumsbeløb. Det er den nationale myndighed der i praksis afgør bødens størrelse. Så loven har egentlig bare givet en forsikring om bøden aldrig kan blive større end 2%/4%. Men det er ikke desto mindre de 2%/4% de har været mest oppe - godt hjulpet af "GDPR-konsulenter" som har hypet det for at kunne få ledelsens opmærksomhed.

Hans Nielsen

Tror at det er "meget samarbejdsvillig." som har betydning, hvis de have forsøgt at skjule det, ikke samarbejdet så kunne vi måske have set en betydeligt større bøde.

Synes måske også at bøden kunne have været lidt større. så det have været billige at få ansat en til at få styr på sikkeheden.

Men det her er jo også starten, og selv om vi har haft en persondata lov i 20 år, og der har været langt tid til at få styr på GDPR, så tror jeg at samme bøde, for samme ting vil være betydelig højere om 3-5 år.

Jens Hansen

Nu var bøden så 20.000 euro og ikke 3.000. Og jeg er også sikker på at hele samarbejdstingen tæller med. Hvis virkosmheder oplever at transparens og positivt samarbejde med myndighederne stiller dem bedre, så tror jeg på at man får en kultur hvor det er lettere at indrømme fejl. Mens en kultur hvor selv de mindste fejl bliver til kæmpe bøder, højst sansynligt vil skabe mere lukkethed og forsøg på at skjule fejl..

René Nielsen

Som jeg læser teksten fra det tyske delstats datatilsyn - https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-ve...

Er normalbøden for den slags - et sekscifferet eurobeløb;

"Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen."

LfDI Baden-Württemberg bruger en masse høftlige ord, men essensen er at datingselskabet har opført sig eksemplarisk og har aktivt medvirket til at opklare sagen og til straks at højne sikkerheden betydeligt.

Hvis du kender lidt til tyske forhold/sprog, så står der også bag de høftlige ord, at "hammeren falder hårdt" på dem som ikke samarbejder som datingselskabet gjorde det.

Jeg ved ikke hvad man tjener som datingsite med 330.000 "medlemmer", men en bøde til et sådan site på f.eks. 200.000 euro - vil formentlig havde knækket selskabet økonomisk.

Og det er vel også det som LfDI Baden-Württemberg indirekte skriver når de omtaler, at det som det drejer sig om, er at forbedre datasikkerheden og ikke deltage i en konkurrence om at give højeste bøder;

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Denny Christensen

Takker, skrev 3000 men det var nu den egentlige str jeg havde i hovedet - jeg er så enig med andet oplæg i at eks 200.000 kunne have ruineret virksomheden MEN det afholder jo ikke domstolene fra i andre sammenhænge at idømme bøder eks til privatpersoner der ligger uden for deres aktuelle økonomiske formåen.

René Nielsen

MEN det afholder jo ikke domstolene fra i andre sammenhænge at idømme bøder eks til privatpersoner der ligger uden for deres aktuelle økonomiske formåen.


Det tror jeg så også havde været tilfældet, hvis ikke datingsitet øjeblikkeligt havde gået "bodsgang" og aktivt medvirket til at forbedre datasikkerheden på datingsitet.

Det er under alle omstændigheder, det som Dr. Brink anfører som grunden for ikke at give en høj bøde.

Jeg synes ikke, at man nødvendigvis bør lægge ud med bøder som i praksis svarer til en konkurserklæring - overfor de sites som går "bodsgang" inkl. at forbedre sikkerheden.

Jeg tror godt at du kan regne med, at det datingsite indenfor den nærmest fremtid, igen får kontrolbesøg.

Henrik Biering Blogger

... det med de hhv. 2% og 4% af omsætningen har altid været "maksimale beløb" ikke minimumsbeløb. Det er den nationale myndighed der i praksis afgør bødens størrelse. Så loven har egentlig bare givet en forsikring om bøden aldrig kan blive større end 2%/4%.


Morten, det er desværre forkert! GDPR giver bøder på op til 20 millioner EUR til privatpersoner og små virksomheder, så de i realiteten må lukke.

Begrænsningen til {maximum af 20 millioner EUR og 4% af den årlige globale omsætning} er udelukkende lavet til glæde for store "too big to fail" virksomheder, altså primært virksomheder med over 500 millioner EUR i årlig omsætning.

Her er uddraget fra Artikel 83 stk. 5, der fastslår 4% bøderammen:

Overtrædelse ... straffes i overensstemmelse med stk. 2 med administrative bøder på op til 20 000 000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere

Log ind eller Opret konto for at kommentere