Gegen den Telekommunikationsdienstleister 1&1 hat der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) ein Bußgeld von 9.550.000 Euro verhängt. Grund ist der nachlässige Umgang des Unternehmens mit vertraulichen Kundendaten.
Das Unternehmen hätte „keine hinreichenden technisch-organisatorischen Maßnahmen“ ergriffen, um zu verhindern, dass Unberechtigte telefonisch persönliche Daten der Kunden abfragen könnten. Dafür hätten Anrufer bei der 1&1-Kundenbetreuung lediglich Namen und Geburtsdatum eines Kunden angeben müssen, um an weitere persönliche Kundendaten zu gelangen.
In dieser Vorgehensweise, dem sogenannten Authentifizierungsverfahren, sieht der Bundesbeauftragte für Datenschutz und Informationsfreiheit einen Verstoß gegen den Artikel 32 DSGVO. Danach ist das Unternehmen verpflichtet, „geeignete technische und organisatorische Maßnahmen“ zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.
Einsicht schützt nicht vor Strafe
Der Kommunikationsanbieter 1&1 zeigte sich nach Angaben der Datenschutzbehörde „einsichtig und äußerst kooperativ“. So wurde der Authentifizierungsprozess sofort durch die Abfrage zusätzlicher Angaben besser abgesichert. In einem weiteren Schritt wird das Unternehmen ein neues, technisch und datenschutzrechtlich einwandfreies Authentifizierungsverfahren einführen.
Das Bußgeld wird aber trotz der Einsicht des betroffenen Unternehmens fällig. Nach Auffassung der Datenschutzbehörde war „der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar“. Doch Einsicht und Kooperation zahlte sich für 1&1 bei der Geldbuße aus. Der BfDI blieb bei der Festsetzung im unteren Bereich des möglichen Bußgeldrahmens.
Datenschutz ist Grundrechtsschutz
Zu dem Vorfall sagte der Bundesdatenschutzbeauftrage Ulrich Kelber: „Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.“ Aktuell prüft seine Behörde die Authentifizierungsprozesse weiterer Telekommunikationsanbieter.
.
Quelle: PM BfDI vom 9.12.2019
