Aufgrund von verschiedenen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängte die französische Datenschutzbehörde (CNIL) gegen das US-Unternehmen Discord Inc. ein Bußgeld in Höhe von 800.000 Euro. Die Verstöße umfassten vor allem die Sicherheit der personenbezogenen Daten und die Speicherbegrenzung.
Hintergrund des DSGVO-Bußgeldes
Discord ist ein Voice-over-IP- und Instant-Messaging-Dienst, bei dem Nutzer Text-, Sprach- und Videoräume einrichten und über Video- oder Audiotelefonie kommunizieren können. Der Dienst wird von Discord Inc., einem Unternehmen mit Sitz in den Vereinigten Staaten, betrieben.
Im Rahmen einer großangelegten Untersuchung stellte die französische Datenschutzbehörde CNIL mit ihrer Entscheidung vom 10. November 2022 fünf Datenschutzverstöße fest:
- Verstoß gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO),
- Nichteinhaltung der Informationspflichten (Art. 13 DSGVO),
- Kein Datenschutz durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO),
- Nichtgewährleistung der Sicherheit personenbezogener Daten (Art. 32 DSGVO) und
- Versäumnis, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen (Art. 35 DSGVO).
Die Höhe der Geldbuße wurde unter Berücksichtigung der festgestellten Verstöße und der Anzahl der betroffenen Personen festgelegt, aber auch unter Berücksichtigung der Anstrengungen, die das Unternehmen während des gesamten Verfahrens unternommen hat, um die Einhaltung der Vorschriften zu erreichen. Des Weiteren wurde die Tatsache berücksichtigt, dass das Geschäftsmodell von Discord nicht auf der Verwertung personenbezogener Daten beruht.
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Datenschutzrechtliche Einschätzung des Bußgeldes
Verstoß gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
Im Rahmen der Untersuchung stellte die CNIL fest, dass Discord keine Regelung zur Speicherbegrenzung hatte. Es wurden ca. 2,5 Millionen Nutzerkonten gefunden, die seit mindestens drei Jahren inaktiv waren, sowie 58.000 Konten, die seit über fünf Jahren nicht mehr genutzt wurden. Während des Verfahrens kam Discord dieser Verpflichtung jedoch nach, da es nun über eine schriftliche Richtlinie zur Speicherbegrenzung verfügt, die die Löschung von Konten nach zwei Jahren der Inaktivität der Nutzer vorsieht.
Unternehmen sollten stets darauf achten, welche Daten sie zu welchen Zwecken verarbeiten. Dementsprechend sollten Speicherregelungen eingeführt werden, die sicherstellen, dass Daten, die nicht mehr benötigt werden (weil ihr Verarbeitungszweck erreicht wurde oder nicht mehr erreicht werden kann), gelöscht werden. Unternehmen sollten Mitarbeiter dahingehend schulen, welche Speicherdauer bei welchen der von ihnen verarbeiteten Daten zutrifft.
Nichteinhaltung der Informationspflichten (Art. 13 DSGVO)
Ferner konnte Discord seinen Informationspflichten nach Art. 13 DSGVO nicht vollständig nachkommen, da es keine konkreten Datenaufbewahrungsfristen gab und somit Betroffene diesbezüglich nicht vollständig informiert wurden. Auch diese Verpflichtung setzte das Unternehmen im Laufe des Verfahrens um.
Art. 13 und 14 DSGVO stellen mit den Informationspflichten eine der wichtigsten Regelungen im Datenschutz dar. Aufgrund dessen sollten Verantwortliche stets darauf achten, dass Betroffene in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache informiert werden.
Tipp: In unserem Special zu Betroffenenrechten finden Sie alles, was Sie zum Thema Informationspflichten wissen müssen – inklusive praktischer Generatoren!
Kein Datenschutz durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Ein weiterer festgestellter Verstoß lag bei den datenschutzrechtlichen Voreinstellungen des Discord-Dienstes. Nach Art. 25 Abs. 2 DSGVO muss der Verantwortliche technische und organisatorische Maßnahmen treffen, die sicherstellen, dass Systeme so voreingestellt sind, dass nur personenbezogene Daten verarbeitet werden, die für den bestimmten Zweck erforderlich sind. Zudem müssen diese Maßnahmen unter Anderem sicherstellen, dass durch Voreinstellungen der Zugriff von einer unbestimmten Zahl von natürlichen Personen verhindert wird, ohne dass der Betroffene eingreifen muss (Privacy by Design und Privacy by Default).
Discord hatte bei seinem Dienst die Anwendung für Microsoft Windows so eingestellt, dass trotz des Betätigens des „x“-Symbols zum Schließen die Discord-Anwendung im Hintergrund weiterläuft und der Nutzer weiterhin im Sprachchat eingeloggt bleibt. Dadurch können andere Nutzer die Gespräche weiterverfolgen. Da grundsätzlich Anwendungen auf Microsoft Windows durch das „x“ komplett geschlossen werden und die Nutzer von einer kompletten Beendigung des Programms ausgehen, wies die Behörde Discord an, eine Benachrichtigung zu implementieren, um den Nutzer auf die Übertragung im Hintergrund hinzuweisen. Discord Inc. ist auch hier im Rahmen des Verfahrens den Forderungen der CNIL nachgekommen und hat ein Pop-up-Fenster implementiert, welches den Nutzer darauf hinweist und ihm Einstellungsmöglichkeiten diesbezüglich gibt.
Nichtgewährleistung der Sicherheit personenbezogener Daten (Art. 32 DSGVO)
Zum Zeitpunkt der Untersuchung wurden Passwörter mit sechs Zeichen, einschließlich Buchstaben und Zahlen, akzeptiert. Die CNIL war der Ansicht, dass die Passwortvorgaben nicht streng und restriktiv genug waren, um die Sicherheit der Benutzerkonten zu gewährleisten.
Discord hat im Laufe des Verfahrens Schritte unternommen, um den Zugang zu den Konten zu sichern: Es verlangt nun von den Nutzern, dass sie ein Passwort mit mindestens acht Zeichen festlegen, das mindestens drei der vier Zeichenarten (Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen) enthält. Nach zehn erfolglosen Anmeldeversuchen verlangt das Unternehmen, dass ein Captcha (Frage und Antwort, z. B. über ein Kontrollkästchen oder eine Bildauswahl) gelöst wird.
Unternehmen sollten eine Password-Policy etablieren. In dieser Policy sollten Vorgaben, wie z.B. die Vermeidung von trivialen Passwörtern, die Mindestpasswortlänge oder das Verhindern von nahezu identischen Passwörtern bei einer Änderung selbiger enthalten sein, um die Passwortsicherheit zu gewährleisten. Eine solche Policy dient nicht nur der Gewährleistung der Sicherheit von Daten, sondern auch als Nachweisfunktion für Verantwortliche im Falle eines Angriffs.
Versäumnis, eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO)
Nach Art. 35 DSGVO muss eine Datenschutz-Folgenabschätzung durchgeführt werden, wenn die (geplante) Datenverarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Discord war der Ansicht, dass eine solche Folgenabschätzung nicht erforderlich war. Da jedoch die Discord-Dienste auch von Minderjährigen wahrgenommen werden, und diese eines höheren Schutzniveaus bedürfen, vertrat die CNIL die Auffassung, dass eine Datenschutz-Folgenabschätzung hätte durchgeführt werden müssen.
Fazit
Der vorliegende Fall zeigt, wie wichtig die Beachtung der allgemeinen Grundsätze der DSGVO ist und wie teuer ein fehlendes bzw. mangelhaftes oder unüberlegt aufgestelltes Datenschutz-Managementsystem (DSMS) einem Unternehmen zu stehen kommen kann. Insbesondere zeigt dieser Fall auch, dass Datenschutz nicht nur von der Rechtsabteilung ernst genommen werden sollte, sondern eine Aufgabe darstellt, die das gesamte Unternehmen betrifft, wie bspw. im vorliegenden Fall auch die Entwickler der Anwendungen. Durch überlegte, datenschutzfreundliche Voreinstellungen können hohe Bußgelder von vornherein vermieden werden.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!