Wegen Verstößen gegen die Datenschutzgrundverordnung soll der Internetanbieter 1&1 Telecommunications ein Bußgeld in Höhe von 9,55 Millionen Euro zahlen. Das verkündete der Bundesdatenschutzbeauftragte, Ulrich Kelber, heute in einer Pressemitteilung.
Der Telekommunikationskonzern habe die Daten seiner Kund:innen im Rahmen der telefonischen Kundenbetreuung zu leichtfertig herausgegeben. Konkret bemängelt Kelber, dass die Angabe von Name und Geburtsdatum ausgereicht hätte, um in der Service-Hotline an weitreichende Informationen zu gelangen.
Erst im September hatte Kelber auf der Konferenz von netzpolitik.org angekündigt, dass es bald auch in Deutschland Datenschutz-Bußgelder in Millionenhöhe geben werden. Jetzt macht er ernst. „Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden“, wird Kelber in der Pressemitteilung zitiert.
Strukturelle Mängel werden teuer
Deutsche Aufsichtsbehörden verhängten damit das zweite DSGVO-Bußgeld in Millionenhöhe. Erst vor wenigen Wochen hatte die Berliner Datenschutzbeauftragte, Maja Smoltczyk, bekanntgegeben, Deutsche Wohnen mit knapp 15 Millionen Euro zu sanktionieren. Der umstrittene Immobilienkonzern hatte sensible Daten von Mieter:innen wie Einkommensnachweise und Kontoauszüge über Jahre gespeichert, obwohl dies nicht mehr notwendig war. Das Archivsystem des Unternehmens hatte keine Option zur Löschung von Daten vorgesehen, die nicht mehr benötigt wurden.
Wie die Berliner Datenschutzbeauftragte ahndet nun auch Kelber einen strukturellen Mangel. Dass allein der Name und das Geburtsdatum ausreichten, um weitreichende persönliche Informationen zu erhalten, sei ein Verstoß gegen Artikel 32 der DSGVO, so Kelber. Dieser Artikel schreibt Unternehmen vor, dass sie „geeignete technische und organisatorische Maßnahmen“ ergreifen müssen, um personenbezogene Daten zu schützen. Ob tatsächlich Unbefugte die Daten von 1&1‑Kund:innen ausspähten, ist für die Strafe deshalb unerheblich.
Das Bußgeld liege im unteren Bereich dessen, was möglich gewesen wäre, teilt Kelber weiter mit. Das Unternehmen habe sich kooperativ gezeigt. In einem ersten Schritt sei das Authentifizierungsverfahren gestärkt worden, indem nun mehr Angaben zur Person angefragt werden, bevor Informationen ausgegeben werden. Derzeit werde zudem ein „technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren“ eingeführt.
1&1 will Klagen
In einer Mitteilung kündigte 1&1 allerdings an, den Bußgeldbescheid nicht zu akzeptieren, sondern dagegen zu klagen. Das Unternehmen begründet den Schritt damit, dass es nur in einem einzigen Fall zu einer tatsächlichen Ausspähung der Daten gekommen sei:
In diesem Verfahren ging es nicht um den generellen Schutz der bei 1&1 gespeicherten Daten, sondern um die Frage, wie Kunden auf ihre Vertragsinformationen zugreifen können. Der fragliche Fall ereignete sich bereits 2018. Konkret ging es um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners. Die zuständige Mitarbeiterin erfüllte dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien. Zu diesem Zeitpunkt war eine Zwei-Faktor-Authentifizierung üblich, einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen gab es nicht.
Die Datenschutzbeauftragte von 1&1, Julia Zirfas, bezeichnete die Strafe als „unverhältnismäßig“. 1&1 habe die Sicherheitsanforderungen seit 2018 weiterentwickelt: „So wurde beispielsweise zwischenzeitlich eine dreistufige Authentifizierung eingeführt und in den nächsten Tagen wird 1&1 – als eines der ersten Unternehmen seiner Branche – jedem Kunden eine persönliche Service-PIN bereitstellen.“