Der BfDI (der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) hat gestern in einer Pressemitteilung verkündet, ein Bußgeld über stattliche 9,55 Millionen Euro verhängt zu haben. Schuld ist ein – angeblicher – DSGVO-Verstoß. Getroffen hat es den Telekommunikationsdienstleister 1&1 Telecom GmbH. Das ist ein Tochterunternehmen der 1&1 Telecommunication SE, die wiederum zur United Internet Gruppe gehört.
Dem Unternehmen wird vorgeworfen, keine hinreichenden technischen und organisatorischen Maßnahmen (TOMs) ergriffen zu haben, um Anrufer sicher zu authentifizieren.
Worin besteht der Vorwurf des BfDI?
Die 1&1 Telecom GmbH bietet eine telefonische Kundenbetreuung an. Dafür müssen sich die Kunden natürlich erst einmal authentifizieren. Bei 1&1 wurden die Kunden gebeten, Namen und Geburtsdatum zur Authentifizierung anzugeben.
Der BfDI fand, dass diese Methode zu einfach zu knacken sei. Fremde könnten also bei Kenntnis dieser Infos Auskunft über die bei 1&1 gespeicherten Daten von Kunden bekommen. Konkret wird also ein Verstoß gegen Artikel 32 DSGVO angenommen.
Bei dem Bußgeld von 9,55 Millionen Euro handelt sich um das zweite Millionen-Bußgeld deutscher Aufsichtsbehörden, welches wohl unter Anwendung des erst kürzlich vorgestellten neuen Bußgeldkonzepts erlassen wurde.
Das Bußgeld sei geboten gewesen, so der BfDI, da die schwache Authentifizierungsmethode eine Gefahr für den gesamten Kundenbestand darstellte:
“So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar.”
BfDI: Bußgeld “im unteren Bereich des möglichen Bußgeldrahmens”
In der Pressemeldung wird dabei sogar gesagt, dass man aufgrund des kooperativen Verhaltens von 1&1 im unteren Bereich des Bußgeldrahmens geblieben sei:
“Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.”
Dazu sagte der Bundesbeauftragte Ulrich Kelber:
“Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.
1&1 wird gegen Bußgeld vorgehen
Die 1&1 Telecom GmbH hat gleich nach Veröffentlichung der Pressemeldung des BfDI reagiert und ihrerseits eine Pressemitteilung veröffentlicht. Darin hat sie angekündigt, dass sie den erlassenen Bußgeldbescheid nicht akzeptiert und gerichtlich dagegen vorgehen wird.
Aus Sicht des Datenschutzrechtlers ist das eine gute Nachricht. Denn nur so können die Maßgaben der Aufsichtsbehörden einer richterlichen Überprüfung unterzogen werden. Dabei dürfte sowohl zu den Anforderungen des Artikel 32 DSGVO, als auch zu dem Bußgeldkonzept der Aufsichtsbehörden etwas gesagt werden. Eine gerichtliche Beurteilung ist höchst wünschenswert. Denn eine Rechtsfortbildung kann sonst nicht stattfinden.
Was die Probleme des Artikel 32 DSGVO sind und was konkret zu tun ist, können Sie in meinem Beitrag auf unserem neuen Portal rund um den Datenschutz und die DSGVO nachlesen.
Ich helfe Ihnen dabei, Ihre TOMs auf eine sichere Grundlage zu stellen. Nehmen Sie Kontakt mit mir auf und lassen Sie uns die Probleme zusammen angehen.
Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
Urheberangabe für das Foto für diesen Beitrag:
- Millions of Euros – Euro Banknotes: Igor Zakharevich - 123RF.com