DSGVO1&1 muss doch keine Zehn-Millionen-Strafe zahlen

Schlappe für Ulrich Kelber: Das Landgericht Bonn stutzt die Strafe zusammen, die der Bundesdatenschutzbeauftragte 1&1 auferlegt hatte. Der Internetanbieter schützte die Daten seiner Kunden zwar nicht gut genug, doch es sei nur ein Fall bekannt, in dem dies zu Problemen geführt habe.

Stalking
Eine Strafanzeige wegen Stalking war Anlass für die Einleitung des Bußgeldverfahrens gegen 1&1. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Birmingham Museums Trust

Von dem größten Bußgeld, dass der Bundesdatenschutzbeauftragte je verhängt hat, bleibt nicht viel übrig. Wie das Landgericht Bonn gestern mitteilte, wird die Strafe für einen Verstoß des Internetanbieters 1&1 gegen die Datenschutzgrundverordnung auf 900.000 Euro gekürzt. Weil der Internetanbieter keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz von Kundendaten ergriffen hatte, forderte Ulrich Kelber ursprünglich eine Strafzahlung in Höhe von 9,55 Millionen Euro. 1&1 zog dagegen vor Gericht – mit Erfolg.

Ausgangspunkt des Verfahrens war die Strafanzeige eines 1&1-Kunden aus dem Jahre 2018. Der Internetanbieter gab damals einer unbefugten Person die persönlichen Kundendaten weiter, woraufhin der Mann Opfer von Stalking wurde. Die ehemalige Lebensgefährtin des Klägers hatte bei 1&1 mit der Intention angerufen, seine neue Handynummer herauszufinden. An der Service-Hotline musste sie lediglich Namen und Geburtsdatum des Kunden nennen und kam auf diesem Wege an die Daten. Er erhielt in der Folge Anrufe und Nachrichten von ihr, fühlte sich belästigt und von 1&1 hintergangen.

Die Datenschutzbeauftragte von 1&1, Julia Zirfas, zeigte in Hinblick auf den Datenschutzverstoß zwar Einsicht, erklärte aber die Höhe des Bußgeldes für unverhältnismäßig. Die zweistufige Authentifizierung sei damals rechtmäßig gewesen. 1&1 habe die Sicherheitsanforderungen seit 2018 bereits weiterentwickelt.

Kelber: Datenschutzverstöße bleiben nicht ohne Folgen

In diesem Aspekt folgte das Landgericht der Argumentation des Internetanbieters. Sein Verschulden sei gering, erklärt das Gericht in einer Pressemitteilung: „Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt.“ Da es nicht zu massiven Datenabfragen kam, sondern nur ein Einzelfall betroffen ist, sei es lediglich ein geringer Datenschutzverstoß.

Kelber zeigt sich gegenüber der Öffentlichkeit mit der Entscheidung des Landgerichts Bonn dennoch zufrieden. Auf Twitter teilte er mit:

Das LG Bonn hat heute geurteilt, dass 1&1 für seinen Verstoß haftet. Das zeigt: Datenschutzverstöße bleiben nicht ohne Folgen.

Es war die erste große Sanktion, die der Bundesdatenschutzbeauftragte seit Inkrafttreten der DSGVO im Jahr 2018 verhängt hat. 

1 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.