Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt, weil das Unternehmen keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen hatte, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.
In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus.
Der Bundesbeauftragte Ulrich Kelber verwies darauf, dass Datenschutz Grundrechtsschutz sei. Die ausgesprochenen Geldbußen stellten ein klares Zeichen dar, dass die Behörde diesen Schutz auch durchsetzen werde. Die europäische Datenschutzgrundverordnung (DSGVO) biete die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entschieden zu bestrafen.
Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens schon durch bloße Angabe von Namen und Geburtsdatum eines Kunden weitreichenden Zugriff auf weitere personenbezogenen Kundendaten erlangen konnten. Dieses rudimentäre Authentifizierungsverfahren ist nach Ansicht des BfDI ein Verstoß gegen Artikel 32 DSGVO, der Unternehmen verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.
Nach Bemängelung durch den BfDI zeigte sich 1&1 Telecom GmbH jedoch einsichtig und äußerst kooperativ: Zuerst wurde der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. Des Weiteren wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren entwickelt und eingeführt.
Dessen ungeachtet war die Verhängung einer Geldbuße nicht zu verhindern, da der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern ein Risiko für den gesamten Kundenbestand darstellte. verhängte Bußgeld liegt aufgrund des kooperativen Verhaltens von 1&1 noch am unteren Rand des Möglichen. Aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden untersucht der BfDI nun auch die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen.
Ein Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, als das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.
Zur Pressemitteilung des BfDI hier.