Der Online-Dienst Discord, welcher sich insbesondere in der Gaming-Szene als Kommunikationstool hoher Beliebtheit erfreut, wurde von der französischen Datenschutzbehörde CNIL mit einer Sanktion i.H.v. 800.000€ beschwert. Grund dafür war die Nichteinhaltung der DSGVO in fünf Fällen. Die CNIL begründet ihre Bewertung auf nicht vorhandenen Standard- oder integrierte Sicherheitsoptionen, welche wie folgt zusammengefasst werden können:

Verstoß gegen Datenverarbeitungsgrundsatz nach Art. 5 I e) DSGVO

Im Rahmen eines groß angelegten Kontrollverfahrens wurde festgestellt, dass 2.474.000 Discord-Konten seit mehr als drei Jahren und 58.000 Konten seit über fünf Jahren nicht mehr genutzt werden. Bemängelt wurde in diesem Zusammenhang das Fehlen einer Datenspeicherungshöchstdauer.

Die CNIL empfiehlt eine Löschung der Kontodaten nach zwei Jahren Inaktivität. Wolle ein inaktiver Nutzer den Dienst erneut nutzen, so könne er sich jederzeit kostenlos ein neues Konto erstellen. Daher sei nicht ersichtlich, warum Kontenangaben für einen noch längeren Zeitraum gespeichert werden sollten.

Ungenügende Erfüllung von Informationspflichten nach Art. 13 DSGVO

Der zweite Verstoß betrifft die Maßgaben des Art. 13 DSGVO. Im Sinne des Art. 13 II a) DSGVO hat der Verantwortliche den Betroffenen zum Zeitpunkt der Erhebung seiner personenbezogenen Daten Informationen zur Speicherungsdauer zur Verfügung zu stellen, um eine faire und transparente Verarbeitung zu gewährleisten.

Für die Einhaltung dieser Pflicht reiche eine generelle Erklärung, die personenbezogenen Daten würden so lange gespeichert, wie es der legitime Zweck der Verarbeitung erfordert, nicht aus. Vielmehr soll die Speicherfrist so formuliert sein, dass Betroffene selbst beurteilen können, von was für einer Speicherdauer sie ausgehen müssen ((EU) 2016/679). Wenn der Verantwortliche die Dauer der Datenspeicherung nicht angeben kann, hat er zumindest die Kriterien für die Festlegung zu nennen.

Keine datenschutzfreundlichen Voreinstellungen nach Art. 25 II DSGVO

Der dritte Verstoß betrifft eine Eigenschaft von Discord, welche im Konflikt mit Art. 25 DSGVO steht. Das Programm läuft nach Schließen des Browserfensters im Hintergrund weiter, die Beendigung unter Betriebssystemen wie Windows und Linux erfordert zusätzliche Anpassungen unter den Standardeinstellungen. Dies kann dazu führen, dass der Nutzer der Überzeugung ist, er habe den Sprachkanal verlassen, ist tatsächlich aber noch mit ihm verbunden und entsprechend von Dritten zu hören. Der CNIL fehlte es zum Zeitpunkt der Überprüfung an klaren Informationen, es bestehe ein zu großes Risiko, dass es zu einer unbewussten Weitergabe von Nutzerdaten an Dritte kommt. Dies begründe einen Verstoß gegen Art. 25 II DSGVO, da Discord Voreinstellungen vorzunehmen habe, welche im Sinne der Datensicherheit seiner Nutzer sind.

Kein hinreichender Schutz der Datensicherheit nach Art. 32 DSGVO

Des Weiteren wird auch das Passwort-Sicherheitsniveau von Discord kritisiert. Zum Zeitpunkt der Überprüfung reichten bereits sechs Zeichen inklusive Zahlen und Buchstaben aus, um ein Discord-Konto anzulegen. Die CNIL sah die Anforderungen des Art. 32 DSGVO als nicht erfüllt an. Ihr mangelte es hier an hinreichenden Komplexitätskriterien, wodurch sich unbefugte Dritte einen zu leichten Zugang zu den Kontodaten verschaffen könnten.

Keine Datenschutzfolgenabschätzung nach Art. 35 DSGVO

Insbesondere im Fall der Plattform Discord, welche eine hohe Anzahl minderjähriger Nutzer vorweisen kann, hätte die Durchführung einer Datenschutzfolgenabschätzung (DSFA) großen Stellenwert. Eine DSFA ist ein Gutachten, welches Datenschutzrisiken eines Verarbeitungsprozesses benennt, bewertet und letztlich versucht, bestehende Gefahren durch Verbesserungsvorschläge zu minimieren. Allerdings hatte Discord zum Prüfungszeitpunkt keine DSFA vorgenommen.

Stetig wachsende Unternehmen müssen sich technischen Gefahren, vor allem potenziellen Cyber-Angriffen stellen. Im Fall von Discord zeigt sich erneut, dass die Größe einer Plattform allein nicht beweist, ob ausreichende Sicherheitsvorkehrungen für die Angaben der Nutzer getroffen werden. Anfang 2022 fielen unter anderem Discord, Apple und Facebook einem Angriff von Hackern zum Opfer, welche sich als Strafverfolgungsbehörden ausgegeben hatten. Über derartige Gefährdungen der Nutzerdaten kann der gute Ruf des Unternehmens für seine innere Sicherheit nicht hinwegtäuschen, solange es nicht auch den Schutz nach außen erweitert.

Können wir Ihnen weiterhelfen?

Sollten Sie datenschutzrechtliche Beratung für ihr eigenes Unternehmen benötigen, wenden Sie sich gerne an uns. Kontaktieren Sie uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de.