DSGVO: Bußgeld in Millionenhöhe für 1&1 Telecom

DSGVO Bußgeld 1&1 Telecom

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat gegen den Telekommunikationsanbieter 1&1 Telecom GmbH wegen Datenschutzverstößen ein Bußgeld in Millionenhöhe verhängt. 

Hintergrund

Der Telekommunikationsanbieter 1&1 Telecom GmbH fragte im Rahmen der telefonischen Kundenbetreuung zur Authentifizierung der Kunden Name und Geburtsdatum ab. Nach Mitteilung dieser Daten hatte der Anrufer die Möglichkeit, die bei dem Anbieter gespeicherten personenbezogenen Daten des Kunden zu erfragen.

Verstoß gegen Art. 32

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sah die durch die 1&1 Telecom GmbH getroffenen technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) als unzureichend an, um zu verhindern, dass Unberechtigte an Kundendaten gelangen. Er verhängte daraufhin ein Bußgeld in Höhe von 9.555.000 Euro.

Die 1&1 Telecom GmbH zeigte sich auf die Beanstandung des BfDI kooperativ und kündigte eine Überarbeitung des Authentifizierungsprozesses an. Kunden sollen zukünftig eine Service-PIN erhalten, mit der sie sich legitimieren können.

Dennoch wurde das Bußgeld in der genannten Höhe verhängt. Der BfDI teilte mit, dass sich aufgrund des kooperativen Verhaltens das verhängte Bußgeld im unteren Bereich des Bußgeldrahmens halte.

Kritik an der Entscheidung

Die 1&1 Telecom GmbH hält das verhängte Bußgeld für unverhältnismäßig und hat ein gerichtliches Vorgehen angekündigt.

Es handelt sich um das zweite Bußgeld in Millionenhöhe, dass im Jahr 2019 von einer deutschen Aufsichtsbehörde verhängt wurde. Die Berliner Datenschutzbeauftrage verhängte zuvor bereits ein Bußgeld in Höhe von 14,5 Millionen Euro gegen das Immobilienunternehmen Deutsche Wohnen SE.

Grundlage der Bemessung für die verhängten Bußgelder war das von der Datenschutzkonferenz (DSK) erarbeitete Bußgeldkonzept.

Fazit

Die Entscheidung des BfDI zeigt, von welcher Relevanz die Einhaltung der datenschutzrechtlichen Vorschriften für den Alltag der Unternehmen ist, weil die Behörden nunmehr tatsächlich anhand des einheitlichen Konzeptes festgelegte Bußgelder verhängen.

Eine telefonische Authentifizierung von Kunden lediglich mit dem Namen und dem Geburtsdatum einer Person durchzuführen ist nach der Entscheidung jedenfalls unzureichend. Dies sind Daten, die auch von unberechtigten Dritten ohne großen Aufwand ermittelbar sind.

Davon unabhängig bleibt abzuwarten, ob das äußerst hohe Bußgeld im konkreten Fall und das abstrakte Bußgeldkonzept der gerichtlichen Überprüfung standhalten wird.

Erstellt: 16. Januar 2020