Im vergangenen Jahr wurde gegen 1&1 ein Bußgeld in Höhe von 9,55 Millionen Euro wegen Verstößen gegen die DSGVO verhängt. Nun wurde das Bußgeld auf 900.000 Euro herabgesetzt.
Urteil ist rechtskräftig
Bereits im Dezember 2020 sind sich das Landgericht Bonn und der Telekommunikationsanbieter 1&1 einig geworden. Das Landgericht hatte das durch die Aufsichtsbehörden festgelegte Bußgeld in Höhe von 9,55 Millionen Euro auf 900.000 Euro reduziert. Nach Informationen durch den Bundesdatenschutzbeauftragten Ulrich Kelber wurde das Bußgeld von allen Seiten akzeptiert. „Nach Absprache zwischen der Staatsanwaltschaft am Landgericht Bonn, dem Leiter der Rechtsabteilung von 1&1, der Verteidigung und dem BfDI wurde vereinbart, dass beide Seiten ihre Rechtsbeschwerden zurücknehmen.“ Das Landgericht Bonn bestätigte dazu, dass das Urteil rechtskräftig ist.
Bußgeld „unangemessen hoch“
Im November 2020 hatte das Landgericht Bonn in einem Urteil den Verstoß gegen die DSGVO bestätigt. Allerdings sah das Gericht in dem verhängten Bußgeld eine unangemessene Höhe. Der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kleber hatte für 1&1 zunächst eine Geldbuße in Höhe von 9,55 Millionen Euro festgesetzt. Nach dem Landgericht, hat das Unternehmen durchaus gegen die DSGVO verstoßen, jedoch sei hier die Verhältnismäßigkeit nicht gegeben. Als Begründung wurde ein geringes Verschulden des Telekommunikationsanbieters angegeben. Dies sieht auch der Rechtsprofessor der technischen Hochschule Köln und Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit Rolf Schwartmann so: „Die Wirtschaft muss nicht mehr mit der Angst vor irrationalen Bußgeldern aus der Giftküche der Verwaltungsbehörden leben, sondern damit rechnen, dass Datenschutzverstöße empfindliche, aber verhältnismäßige Sanktionen nach sich ziehen“.
Fehlendes Problembewusstsein
Der Verstoß gegen die Datenschutzgrundverordnung lag bei 1&1 in einem fehlenden Authentifizierungsverfahren bei der Kommunikation zwischen Kunden und Callcenter. So wurden Informationen herausgegeben, ohne hinreichende Identifizierung. Dies war allerdings schon jahrelang Praxis bei 1&1, es hat hier demnach am Problembewusstsein gefehlt. Aufmerksam wurde die Datenschutzbehörde durch eine Strafanzeige gegen 1&1 eines Kunden. Der Anbieter gab einer ehemaligen Lebensgefährtin eines Kunden dessen neue Handynummer heraus. Daraufhin wurde der Kunde Opfer von Stalking. Die Dame kam lediglich durch die Nennung des Namens und des Geburtsdatums an die nötigen Informationen. Ulrich Kleber stellte zu Recht fest, dass das Unternehmen keine hinreichenden technischen und organisatorischen Maßnahmen zum Schutz der Daten festgelegt und umgesetzt hat. So kam es zu dem sehr hohen Bußgeld. 1&1 selbst will die Sicherheitsanforderungen seit dem Vorfall angepasst und weiterentwickelt haben.
