Von dem größten Bußgeld, dass der Bundesdatenschutzbeauftragte je verhängt hat, bleibt nicht viel übrig. Wie das Landgericht Bonn gestern mitteilte, wird die Strafe für einen Verstoß des Internetanbieters 1&1 gegen die Datenschutzgrundverordnung auf 900.000 Euro gekürzt. Weil der Internetanbieter keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz von Kundendaten ergriffen hatte, forderte Ulrich Kelber ursprünglich eine Strafzahlung in Höhe von 9,55 Millionen Euro. 1&1 zog dagegen vor Gericht – mit Erfolg.
Ausgangspunkt des Verfahrens war die Strafanzeige eines 1&1‑Kunden aus dem Jahre 2018. Der Internetanbieter gab damals einer unbefugten Person die persönlichen Kundendaten weiter, woraufhin der Mann Opfer von Stalking wurde. Die ehemalige Lebensgefährtin des Klägers hatte bei 1&1 mit der Intention angerufen, seine neue Handynummer herauszufinden. An der Service-Hotline musste sie lediglich Namen und Geburtsdatum des Kunden nennen und kam auf diesem Wege an die Daten. Er erhielt in der Folge Anrufe und Nachrichten von ihr, fühlte sich belästigt und von 1&1 hintergangen.
Die Datenschutzbeauftragte von 1&1, Julia Zirfas, zeigte in Hinblick auf den Datenschutzverstoß zwar Einsicht, erklärte aber die Höhe des Bußgeldes für unverhältnismäßig. Die zweistufige Authentifizierung sei damals rechtmäßig gewesen. 1&1 habe die Sicherheitsanforderungen seit 2018 bereits weiterentwickelt.
Kelber: Datenschutzverstöße bleiben nicht ohne Folgen
In diesem Aspekt folgte das Landgericht der Argumentation des Internetanbieters. Sein Verschulden sei gering, erklärt das Gericht in einer Pressemitteilung: „Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt.“ Da es nicht zu massiven Datenabfragen kam, sondern nur ein Einzelfall betroffen ist, sei es lediglich ein geringer Datenschutzverstoß.
Kelber zeigt sich gegenüber der Öffentlichkeit mit der Entscheidung des Landgerichts Bonn dennoch zufrieden. Auf Twitter teilte er mit:
Das LG Bonn hat heute geurteilt, dass 1&1 für seinen Verstoß haftet. Das zeigt: Datenschutzverstöße bleiben nicht ohne Folgen.
Es war die erste große Sanktion, die der Bundesdatenschutzbeauftragte seit Inkrafttreten der DSGVO im Jahr 2018 verhängt hat.
Ergänzungen
Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.
Ein Kommentar zu „1&1 muss doch keine Zehn-Millionen-Strafe zahlen“
,
Was hat die Geschichte von Phyllis und Demophoon mit Stalking zu tun?
Dieser Artikel ist älter als 5 Jahre, daher sind die Ergänzungen geschlossen.