Das nächste Millionen-Bußgeld
Bild von angelo luca iannaccone

Das nächste Millionen-Bußgeld

  • Beitrags-Autor:
  • Beitrags-Kategorie:News

Knapp 10 Millionen gegen die 1&1 Telecom GmbH

Im September hatte der Bundesdatenschutzbeauftragte Ulrich Kelber angekündigt, dass auch deutsche Aufsichtsbehörden nach ersten Warnschüssen bald Sanktionen auf Basis der Datenschutz-Grundverordnung (DSGVO) in Millionenhöhe verhängen würden. Nur wenige Wochen nachdem die Berliner Beauftragte für Datenschutz und Informationsfreiheit das bisher höchste Bußgeld in Deutschland (14,5 Millionen) gegen die Deutsche Wohnen verhängt hat, traf es heute am 09.12.2019 den Telekommunikationsanbieter 1&1 Telecom GmbH. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Ulrich Kelber, verhängte gegen das Unternehmen eine Geldbuße in Höhe von 9.550.000 Euro.

Die 1&1 Telecom GmbH hatte nach Angaben des Bundesbeauftragten keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. Der BfDI hatte Kenntnis davon erlangt, dass Anrufer beim Kundenservice des Unternehmens nur den Namen und das Geburtsdatum zu nennen brauchten um weitreichende Informationen zu personenbezogenen Kundendaten zu erhalten. Dieses Authentifizierungsverfahren sieht der Bundesbeauftragte als unzureichend und somit als einen Verstoß gegen die Pflicht aus Artikel 32 DSGVO an, technische und organisatorische Maßnahmen zu ergreifen, die geeignet sind die Verarbeitung personenbezogener Daten systematisch zu schützen.

Ulrich Kelber

Ulrich Kelber sagte zur Verhängung des Bußgeldes gegen die 1&1 Telecom GmbH: „Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.“

Die 1&1 Telecom GmbH zeigte sich, nachdem der BfDI den Mangel an Datenschutz bemängelt hatte, einsichtig und kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt soll bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt werden.

Nichtsdestotrotz sah der Bundesbeauftragte die Verhängung eines Bußgeldes als geboten an, da unter anderem der Verstoß nicht nur auf einen eingegrenzten Teil der Kunden des Telekommunikationsunternehmens begrenzt war, sondern ein Risiko für den gesamten Kundenstamm der 1&1 Telecom GmbH darstellte. Nach Aussage Kelbers führte die Kooperationsbereitschaft des Unternehmens aber zu dem nach seiner Aussage noch recht geringen Bußgeld. Man bliebe bewusst im unteren Bereich des möglichen Bußgeldrahmens.

Auch bei weiteren Telekommunikationsanbietern werde wohl im Moment geprüft, auf welche Weise diese die Authentifizierung bei ihren Telefonhotlines vornehmen, da Hinweise vorlägen dass andere Unternehmen dort ähnlich verfahren wie die 1&1 Telecom GmbH.

Bild von mohamed Hassan auf Pixabay

Die 1&1 Telecom GmbH hat mittlerweile angekündigt, gegen den „absolut unverhältnismäßigen Bußgeldbescheid klagen zu wollen. Das geahndete Verhalten sei ein Einzelfall aus dem Jahr 2018 gewesen, bei dem es jemand telefonisch die Handynummer eines ehemaligen Lebenspartners beim 1&1-Kundendienst abgefragt hätte. Die zuständige Mitarbeiterin habe dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien erfüllt. Zu diesem Zeitpunkt sei eine Zwei-Faktor-Authentifizierung üblich, einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen habe es nicht gegeben. Die Datenschutzbeauftragte von 1&1, Dr. Julia Zirfas, monierte, dass neue Bußgeldlogik der Aufsichtsgremien, die im Oktober 2019 eingeführt wurde, “gegen das Grundgesetz” verstoße.