Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » Bußgeld wegen Datenschutzverstoß: 1&1 muss 9,5 Mio. zahlen
Bußgeld wegen Datenschutzverstoß :

1&1 muss 9,5 Mio. zahlen

Anrufer konnten bei der 1&1-Kundenbetreuung allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten. Der BfDI sah darin einen DSGVO-Verstoß und verhängte ein Bußgeld von 9,55 Millionen Euro. Die 1&1 Telecom GmbH wird den gegen sie erlassenen Bußgeldbescheid nicht akzeptieren und dagegen klagen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9,55 Millionen Euro belegt.

Das Unternehmen habe keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus. 

Bei Anruf Kundendaten – 1&1 will klagen

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO (Sicherheit der Verarbeitung), nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen. 

Zur Information:

Art. 32 DSGVO verlangt vom Verantwortlichen und Auftragsverarbeiter insofern geeignete technische und organisatorische Maßnahmen, um ein Schutzniveau zu gewährleisten, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen ist. Der Begriff der „Geeignetheit“ ist damit in Beziehung zum jeweiligen Risiko zu setzen.

Ausgerichtet an den Umständen des Einzelfalls sind die Maßnahmen zu treffen, die geeignet sind, die Risiken der betroffenen Personen zu minimieren. Eines vollständigen Ausschlusses jeden Risikos bedarf es grundsätzlich nicht. Es gilt insoweit der Grundsatz der Verhältnismäßigkeit.

Im Rahmen einer Verhältnismäßigkeitsprüfung sind dabei folgende Faktoren zu berücksichtigen:

  • Stand der Technik,
  • Implementierungskosten,
  • Art,
  • Umfang, Umstände und Zwecke der Verarbeitung sowie
  • unterschiedliche Eintrittswahrscheinlichkeit und
  • Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt. 

Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens. 

Die 1&1 Telecom GmbH wird den gegen sie erlassenen Bußgeldbescheid nicht akzeptieren und dagegen klagen. Dies kündigte das Unternehmen inzwischen an. In diesem Verfahren sei es nicht um den generellen Schutz der bei 1&1 gespeicherten Daten gegangen, sondern um die Frage, wie Kunden auf ihre Vertragsinformationen zugreifen können. Nach Auffassung von 1&1 sei das Bußgeld absolut unverhältnismäßig.

Weitere Bußgelder

Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen. 

Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.

Das sagt WBS

Da Datenschutz Grundrechtsschutz ist, sind die ausgesprochenen Geldbußen als klares Zeichen zu werten, dass der BfDI diesen Grundrechtsschutz künftig konsequent durchsetzen will und durchsetzen wird.

Die europäische Datenschutzgrundverordnung (DSGVO) gibt dem BfDI auch die rechtliche Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Diese Befugnisse, dass zeigt die Verhängung der aktuellen Bußgelder, wird unter Berücksichtigung der gebotenen Angemessenheit auch angewendet.

Wir empfehlen Unternehmen daher dringend, sich frühzeitig juristisch abzusichern. Unsere Datenschutzexperten stehen Ihnen hierfür gerne jederzeit zur Verfügung.