© Pixabay/AVN Photo Lab
Der Bundesdatenschutzbeauftragte Ulrich Kelber hatte es bereits angekündigt: Datenschutzverstöße sollen nun noch härter geahndet werden. Am Montag verhängte seine Behörde dann ein Bußgeld in Höhe von 9,55 Millionen Euro gegen den Telekommunikationsdienstleister 1&1.
Unbefugte hätten bei telefonischen Auskünften Informationen zu Kunden abfragen können: Bei der 1&1 Kundenhotline können persönliche Kundendaten nur erlangt werden, wenn man seinen Namen und das Geburtsdatum nennt. Die Datenschutz-Grundverordnung (DSGVO) soll Kundendaten schützen. Dies habe der Telekommunikationsdienstleister durch die bloße Abfrage von Namen und Geburtsdatum nicht ausreichend getan, wirft Ulrich Kleber 1&1 vor.
„Die europäische Datenschutz-Grundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.“, sagt der Bundesbeauftragte in einer Pressemitteilung.
Die Reaktion von 1&1
„Der fragliche Fall ereignete sich bereits 2018. Konkret ging es um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners. Die zuständige Mitarbeiterin erfüllte dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien. Zu diesem Zeitpunkt war eine Zwei-Faktor-Authentifizierung üblich, einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen gab es nicht“.
Der Konzern gibt an, die Sicherheitsmaßnahmen mittlerweile erhöht zu haben. Diesen Maßnahmen habe auch der Bundesdatenschutzbeauftragte zugestimmt. Dies schützt den Konzern jedoch nicht vor der Strafe: „Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar.“, heißt es in der Meldung.
1&1 will gegen die Geldbuße vor Gericht ziehen: „Das Bußgeld ist absolut unverhältnismäßig. Die neue Bußgeldregelung, nach der die Summe berechnet wurde und die für die gesamte deutsche Wirtschaft gilt, wurde am 14. Oktober 2019 veröffentlicht und orientiert sich am jährlichen Konzernumsatz. So können bereits kleinste Abweichungen riesige Geldbußen zur Folge haben. In der Datenschutz-Grundverordnung (DSGVO) ist der Umsatz allerdings nicht als Kriterium für die Bemessung der Bußgeldhöhe vorgesehen. Darüber hinaus verstößt die neue Bußgeldlogik gegen das Grundgesetz, insbesondere die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit“.