Millionenstrafe wegen mangelhaftem Datenschutz

Der Bundesbe­auftragte für den Datenschutz und die Informati­onsfreiheit (BfDI) hat den Telekommu­ni­ka­ti­ons­dienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt, weil das Unternehmen keine hinreichenden technisch-organisa­torischen Maßnahmen ergriffen hatte, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.

In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus. 

Der Bundesbe­auftragte Ulrich Kelber verwies darauf, dass Datenschutz Grundrechtsschutz sei. Die ausgesprochenen Geldbußen stellten ein klares Zeichen dar, dass die Behörde diesen Schutz auch durchsetzen werde. Die europäische Datenschutz­grund­verordnung (DSGVO) biete die Möglichkeit, die unzureichende Sicherung von personen­bezogenen Daten entschieden zu bestrafen.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens schon durch bloße Angabe von Namen und Geburtsdatum eines Kunden weitreichenden Zugriff auf weitere personen­bezogenen Kundendaten erlangen konnten. Dieses rudimentäre Authenti­fi­zie­rungs­verfahren ist nach Ansicht des BfDI ein Verstoß gegen Artikel 32 DSGVO, der Unternehmen verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personen­bezogenen Daten systematisch zu schützen. 

Nach Bemängelung durch den BfDI zeigte sich 1&1 Telecom GmbH jedoch einsichtig und äußerst kooperativ: Zuerst wurde der Authenti­fi­zie­rungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. Des Weiteren wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutz­rechtlich deutlich verbessertes Authenti­fi­zie­rungs­verfahren entwickelt und eingeführt. 

Dessen ungeachtet war die Verhängung einer Geldbuße nicht zu verhindern, da der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern ein Risiko für den gesamten Kundenbestand darstellte. verhängte Bußgeld liegt aufgrund des kooperativen Verhaltens von 1&1 noch am unteren Rand des Möglichen. Aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbe­schwerden untersucht der BfDI nun auch die Authenti­fi­zie­rungsprozesse weiterer Anbieter von Telekommu­ni­ka­ti­ons­dienst­leistungen.

Ein Verfahren gegen den Telekommu­ni­ka­ti­onsanbieter Rapidata GmbH wurde erforderlich, als das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutz­be­auftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstun­ternehmen handelt.

Zur Pressemitteilung des BfDI hier.