DSGVO1&1 soll Millionenstrafe zahlen

Ulrich Kelber macht ernst: Der Bundesdatenschutzbeauftragte verhängt ein Bußgeld in Höhe von knapp 10 Millionen Euro gegen 1&1. Der Telekommunikationskonzern hatte es Unbefugten zu leicht gemacht, über die Telefon-Hotline die Daten von Kund:innen abzufragen.

Kein Datenschutz unter dieser Nummer: 1&1 soll ein Bußgeld in Millionenhöhe zahlen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Alexander Andrews

Wegen Verstößen gegen die Datenschutzgrundverordnung soll der Internetanbieter 1&1 Telecommunications ein Bußgeld in Höhe von 9,55 Millionen Euro zahlen. Das verkündete der Bundesdatenschutzbeauftragte, Ulrich Kelber, heute in einer Pressemitteilung.

Der Telekommunikationskonzern habe die Daten seiner Kund:innen im Rahmen der telefonischen Kundenbetreuung zu leichtfertig herausgegeben. Konkret bemängelt Kelber, dass die Angabe von Name und Geburtsdatum ausgereicht hätte, um in der Service-Hotline an weitreichende Informationen zu gelangen.

Erst im September hatte Kelber auf der Konferenz von netzpolitik.org angekündigt, dass es bald auch in Deutschland Datenschutz-Bußgelder in Millionenhöhe geben werden. Jetzt macht er ernst. „Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden“, wird Kelber in der Pressemitteilung zitiert.

Strukturelle Mängel werden teuer

Deutsche Aufsichtsbehörden verhängten damit das zweite DSGVO-Bußgeld in Millionenhöhe. Erst vor wenigen Wochen hatte die Berliner Datenschutzbeauftragte, Maja Smoltczyk, bekanntgegeben, Deutsche Wohnen mit knapp 15 Millionen Euro zu sanktionieren. Der umstrittene Immobilienkonzern hatte sensible Daten von Mieter:innen wie Einkommensnachweise und Kontoauszüge über Jahre gespeichert, obwohl dies nicht mehr notwendig war. Das Archivsystem des Unternehmens hatte keine Option zur Löschung von Daten vorgesehen, die nicht mehr benötigt wurden.

Wie die Berliner Datenschutzbeauftragte ahndet nun auch Kelber einen strukturellen Mangel. Dass allein der Name und das Geburtsdatum ausreichten, um weitreichende persönliche Informationen zu erhalten, sei ein Verstoß gegen Artikel 32 der DSGVO, so Kelber. Dieser Artikel schreibt Unternehmen vor, dass sie „geeignete technische und organisatorische Maßnahmen“ ergreifen müssen, um personenbezogene Daten zu schützen. Ob tatsächlich Unbefugte die Daten von 1&1-Kund:innen ausspähten, ist für die Strafe deshalb unerheblich.

Das Bußgeld liege im unteren Bereich dessen, was möglich gewesen wäre, teilt Kelber weiter mit. Das Unternehmen habe sich kooperativ gezeigt. In einem ersten Schritt sei das Authentifizierungsverfahren gestärkt worden, indem nun mehr Angaben zur Person angefragt werden, bevor Informationen ausgegeben werden. Derzeit werde zudem ein „technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren“ eingeführt.

1&1 will Klagen

In einer Mitteilung kündigte 1&1 allerdings an, den Bußgeldbescheid nicht zu akzeptieren, sondern dagegen zu klagen. Das Unternehmen begründet den Schritt damit, dass es nur in einem einzigen Fall zu einer tatsächlichen Ausspähung der Daten gekommen sei:

In diesem Verfahren ging es nicht um den generellen Schutz der bei 1&1 gespeicherten Daten, sondern um die Frage, wie Kunden auf ihre Vertragsinformationen zugreifen können. Der fragliche Fall ereignete sich bereits 2018. Konkret ging es um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners. Die zuständige Mitarbeiterin erfüllte dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien. Zu diesem Zeitpunkt war eine Zwei-Faktor-Authentifizierung üblich, einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen gab es nicht.

Die Datenschutzbeauftragte von 1&1, Julia Zirfas, bezeichnete die Strafe als „unverhältnismäßig“. 1&1 habe die Sicherheitsanforderungen seit 2018 weiterentwickelt: „So wurde beispielsweise zwischenzeitlich eine dreistufige Authentifizierung eingeführt und in den nächsten Tagen wird 1&1 – als eines der ersten Unternehmen seiner Branche – jedem Kunden eine persönliche Service-PIN bereitstellen.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

15 Ergänzungen

  1. Habe einen Mobilfunkvertrag bei 1und1 und kann bestätigen, dass es Stand heute bei 1und1 eine Service-PIN gibt. Diese kann im Kundenkonto angezeigt und geändert werden.

  2. „…in den nächsten Tagen wird 1&1 – als eines der ersten Unternehmen seiner Branche – jedem Kunden eine persönliche Service-PIN bereitstellen.“
    Das macht Congstar schon seit Jahren, also ist diese Aussage nichts als unwahre PR.
    2 Tage nachdem mein Neuvertrag bei 1&1 aktiv war, hatten 5 verschiedene Call-Center auf meinem Festnetzanschluß angerufen. Diese neue Nummer wurde bis dato weder benutzt noch die Nummer weitergegeben. Wie kommen die an diese Nummer? Ich denke, das ist noch ein anderer Aspekt des Datenschutzes. Wie soll man sich gegen die Weitergabe von Daten schützen? Wird man wohl schlecht beweisen können.

    1. Deutsch ist kompliziert, aber „als eines der ersten Unternehmen“ bedeutet nicht „das erste Unternehmen“. Insofern ist die Aussage keine unwahre PR.

    2. Handynummern werden recycled wenn jemand seine abgibt. Du hast halt zufälligerweise eine abbekommen, die bereits bei diversen Callcentern bekannt ist.

  3. Sehe ich das richtig, dass 1&1 in ihrem Klage-Statement Name und Geburtsdatum als Zwei-Faktor-Authentifizierung (2FA) verkauft? oO Und als Vorreiter mit drei Faktoren, während andere Firmen einfach schon immer ein dediziertes Hotline-Passwort (z.B. Drillisch) hatten?

      1. Nicht ganz. Die beiden „Faktoren“ in diesem Falle waren Kundennummer und Geburtsdatum. Wie das bei ganz vielen Unternehmen üblich ist. Was die Service Passwörter bei anderen Unternehmen betrifft: „Hallo, ja, nein, hab ich nicht. Ich bin der Ehemann/Partner/Freund von der Innhaberin“ hilft meistens um auch ohne das Passwort viele Dinge zu bekommen. Nur bestellen geht in der Regel nicht.

        Ich verstehe wenn viele sich beklagen, dass ein Geburtstdatum kein sicherer Faktor ist. Aber wie zur Hölle kommt jemand an Geburtsdatum und Kundenummer? In dem entsprechenden Fall HATTE der Anrufer beides. Weil die Rechnungen des Ex-Partners vorlagen. 10 Millionen wert? Mhm …

        1. Sorry, Loki, das ist Unsinn. Weder BfDI noch dieser Artikel reden von einer Kundennummer. Ich verstehe auch nicht was daran nicht zu verstehen ist, dass auch eine Kundennummer kein sicheres Merkmal ist. Sie ist dem Namen nach nicht geheimzuhalten und auf jedem Schriftverkehr zu finden. Kundennummer kann ist aus dem Briefkasten fischen, beim Steuerberater auf den Belegen, …

        2. „Ich verstehe wenn viele sich beklagen, dass ein Geburtstdatum kein sicherer Faktor ist. Aber wie zur Hölle kommt jemand an Geburtsdatum und Kundenummer?“

          Spätestens dann, wenn Kundendatenbanken im Netz auftauchen bei dem Du Kunde bist, weißt Du wie „jemand“ an diese Daten kommt.

          Jede Bude verschickt Rechnungen nur noch unverschlüsselt und teilweise sogar im Klartext als Mail.

          Kundendatenbanken sind das neue Gold. Einbrüche in Unternehmen werden immer häufiger genutzt um an diese zu kommen.

          Und nun denk mal über Aggregation nach.
          Ich modelliere das gerne – macht oftmals einen schönen A-ha-Effekt.
          Hilft nur nichts. Häufiges Statement: „Was soll schon passieren?“

          Ach! – Stalking?
          War nur ein bedauerlicher Einzelfall.

    1. Nicht verwunderlich. Alles was sie von sich geben ist zu 100% PR. Und gelogen ist es ja nicht. Geburtsdatum und Name sind zwei Faktoren, wenn auch zwei sehr schwache.

      Bisher waren Kundendaten „Bei 1&1 in den allerbesten Händen.“. Und doch konnte „1&1 unter Einsatz modernster Technologien einen weiteren Meilenstein in der Sicherheitstechnik für Sie durchsetzen: Die neue 3 in 1 Sicherheitsabfrage.“ „Da bleibt kein Auge trocken, wer will nochmal, wer hat noch nicht. Nicht einfach sicher, nicht zweifach sicher, neeeein, dreifach sicher!“ „Jetzt mit umklappbaren Flügeln für noch mehr Schutz an den Tagen zwischen den Tagen ohne Netzanbindung.“

      1. Naja fachlich gesehen sind leicht zugängliche Fakten kein zusätzlicher „Faktor“. Das ist hier schon weit jenseits der „Gefahr“-Beschilderung.

        Adresse, Geburtsdatum, Name… solche dürften selten wirklich schwierig zu besorgen sein, höchstens ein paar Cent zu teuer pro Datensatz für Scammer Nr. 12.

  4. das ist nur eine ablenkung von dem generellen problem der digitalen datenspeicherung—früher wurden die daten des kunden beim anruf sogar schon mit der rufnummer im system aufgerufen und mussten lediglich abgeglichen werden, jetzt müssen die daten ggf. bei jedem anruf neu erfasst werden, was für eine idiotische zeitverschwendung im zeitalter der digitalisierung, abgesehen von dem unnötigen stress für den anrufer und datenerfasser u.a. bei der buchstabierung seines namens usw.—-die digitalisierung dient nur der softwareindustrie und der überwachung

    1. Bequemlichkeit ist keine Option. Dass nicht sofort alle Daten in der Maske zu sehen sind, insbesondere bei der Authentifizierung, ist vorbildlich.

      Supportmitarbeiter:innen können dann nicht mehr tricksen. 1. Kann keine Hilfestellung gegeben werden für die Authentifizierung per Sicherheitswort, wenn der Kunde das nicht mehr so genau kennt. 2. Kann der Mitarbeiter nicht ohne ‚Mithilfe‘ der Kunden in deren Datensätze gucken oder gar Aufträge fälschen. Das System prüft erst, ob dem Zugriff ein berechtigter Zweck zu Grunde liegt. Mitarbeiter, die z.B. ihre Verkaufsquote nicht erfüllen oder unbedingt in den Boni-Bereich kommen wollen (Provision erst ab Schwellwert), können eine Form der Kreativität entwickeln, die ausschließlich eigennützig ist. Auch können die aus Unternehmenssicht notwendigen Routinen (Adressabgleich) erzwungen werden, was insbesondere dort wichtig ist, wo mit Datensätzen gearbeitet wird, die relativ alt sind.

      Kann auch nur schwer nachvollziehen, wie man gleichzeitig gegen die Umsetzung einfachster Datenschutzstandards und gegen digitale Überwachung plädieren kann. Digitale Überwachung lebt davon, dass schützenswerte Daten einfach erhoben werden können.

      1. Denkfehler?
        „Digitale Überwachung lebt davon, dass schützenswerte Daten einfach erhoben werden können.“

        Mach aus dem „können“ ein „sollen“ – dann passt die Schlussfolgerung.

        Jedweder Versuch die Erhebung von personenbezogenen Daten einzuschränken wird im Keim erstickt. Das EU-Parlament hat dank der Lobbyisten Art.6 DSGVO so schwammig gefasst, das im Namen der Erforderlichkeit alles und Jedes an personenbezogenen Daten erhoben und verarbeitet und mindestens mit den nationalen Regelungen begründet wird. (Handels-, Steuer-, Finanzwirtschaftsgesetze, und -verordnungen,

        Zum nachlesen:
        https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679
        Nummer (39) bis (50)

        1. ‚Sollen‘ macht keinen Sinn in meiner Aussage und basiert ansonsten nur auf Spekulationen und ist maximal Futter für Verschwörungstheorien. Ausserdem wäre dann komplett verdreht, was ich zum Ausdruck bringen wollte.

          Der Denkfehlerverdacht ist unbegründet und inhärent anmaßend.

          ‚Sollen‘ impliziert einen Willen und dahinter steckt immer ein Motiv. Und einer zugrundeliegenden Motivation auf die Schliche zu kommen, gestaltet sich ausserordentlich schwierig. Damit möchte ich gar nicht erst anfangen.

          Ihre Schlußfolgerung des ‚[Einschränkungmöglichkeiten] im Keim‘ erstickens, kann ich nicht nachvollziehen. In der DSGVO und den Erwägungsgründen kommt das nicht zum Ausdruck. Auch kann ich nichts an der DSGVO finden zu ihrer Behauptung, dass „im Namen der Erforderlichkeit alles und Jedes an personenbezogenen Daten erhoben und verarbeitet“ werden dürfe. Ich kann lediglich erkennen, dass wenn eine Verarbeitung angemessen und erforderlich ist, diese auch stattfinden darf.

          Unter der Voraussetzung, dass der Datengeber darüber vorher aufgeklärt wird, ist das iO. Und genau da ist der eigentliche Knackpunkt begraben. Wer liest schon jede Datenschutzerklärung? Die meisten Leute lesen sowas gar nicht. Nicht viele datenverarbeitende Unternehmen bekommen den Aufklärungs- und ggf. Einwilligungsprozess wirklich gut umgesetzt und sicherlich gibt es auch welche, die das gar nicht gut hinbekommen wollen.

          Dass datenverarbeitende Instanzen sich zweifellos schadhaft halten, ist unbestritten. Doch das ist unzulässig und nicht im Sinne des Gesetzes. Ohne die zusätzliche Rechtsquelle ‚Rechtsprechung‘, wären so ziemlich alle Gesetze nicht oder kaum anwendbar. So ist es auch bei der DSGVO. Was in allen möglichen Fällen erforderlich und angemessen ist, wäre ein schier unendlicher Katalog von Parametern. Dieser hochkomplexe Katalog müsste regelmässig angepasst werden , je nach Entwicklung der Umgebungsbedingungen. Ehe wir eine solche Rechtsstruktur werden bekommen können, vergehen noch etliche Dekaden.

          Die DSGVO ist in einigen Punkten ausserordentlich überarbeitungsbedürftig. Artikel 6 betrifft das nach meinem Dafürhalten aber eher nicht.

          P.S. Einfach mal die Sorgfaltspflichten in Abschnitt (4) DSGVO Artikel 6 lesen, und erkennen, dass eben gerade nicht „alles und Jedes an personenbezogenen Daten erhoben und verarbeitet“ werden darf. ;)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.