In einer Pressemitteilung vom 9.12.2019 hat der Bundesbeauftragte für den
Datenschutz informiert, dass gegen 1&1 Telekom GmbH eine DSGVO-Geldbuße in Höhe von EUR 9.550.000,-- verhängt wurde.
Dazu sagte der Bundesbeauftragte Ulrich Kelber:
„Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.“
Bei 1&1 Telekom GmbH reicht bei einer telefonischen Anfrage nach Ansicht der Aufsichtsbehörde die Angabe des Namens und des Geburtsdatums aus, über einen Kunden weitreichende Informationen zu erhalten. Dadurch können unberechtigte Personen Zugang zu Daten von Kunden erhalten.
In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Art 32 DSGVO. Dies stellt keine geeignete technische oder organisatorische Maßnahme dar, da nicht sichergestellt ist, dass auch die betroffene Person selbst diese Informationen erhält, sondern auch unberechtigte Personen uU Zugang zu diesen Daten des Verantwortlichen erhalten.
Die Geldbuße liegt nach Mitteilung des BfDI im unteren Bereich des möglichen Bußgeldrahmens.
Die 1&1 Telekom GmbH gehört meines Wissens zur 1&1 IONOS SE (einem deutschen Konzern). Soweit überblickbar wird der Konzernabschluss mit der United Internet AG konsolidiert, und diese wies im Jahr 2018 einen Gesamtumsatz von 5,2 Mrd. EUR aus.
In Relation zu diesem Umsatz macht daher die DSGVO-Geldstrafe 1,83 % des Umsatzes aus.
Die 1&1 Telekom GmbH hat angekündigt, gegen die Entscheidung Rechtsmittel erheben zu wollen, dh Klage einzureichen, damit die Entscheidung der Aufsichtsbehörde überprüft wird.
Aus der Pressemitteilung der 1&1 Telekom GmbH vom 09.12.2019:
„In diesem Verfahren ging es nicht um den generellen Schutz der bei 1&1 gespeicherten Daten, sondern um die Frage, wie Kunden auf ihre Vertragsinformationen zugreifen können. Der fragliche Fall ereignete sich bereits 2018. Konkret ging es um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners. Die zuständige Mitarbeiterin erfüllte dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien. Zu diesem Zeitpunkt war eine Zwei-Faktor-Authentifizierung üblich, einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen gab es nicht.“
10.12.2019, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben