Laut einer Mitteilung des Bundesdatenschutzbeauftragten wurde ein Bußgeld in Höhe von 9,55 Millionen Euro gegen das Telekommunikationsunternehmen 1&1 verhängt, weil dieses aus Sicht der Datenschützer „keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.“ Als Reaktion auf Geldstrafe kündigt das Unternehmen umgehend an Klage gegen die Entscheidung einzureichen, weil die Höhe „unverhältnismäßig sei und gegen das Grundgesetz verstößt.“
Konkret geht es laut dem Bundesdatenschutzbeauftragten Ulrich Kelber darum, dass bereits die Angabe des Namens und des Geburtsdatums ausreichte, um von der telefonischen Kundenbetreuung weitere personenbezogene Daten von Kunden wie deren Telefonnummer zu erhalten. Eine Frau soll so beispielsweise im Jahr 2018 die neue Handynummer ihres Ex-Mannes erhalten haben.
Neue Sicherheitsmaßnahmen sollen Kundendaten schützen
Bereits als erste Hinweise des Bundesdatenschutzbeauftragten das Unternehmen erreichten, soll sich dieses „einsichtig und äußerst kooperativ“ verhalten haben. Dazu wurde das Authentifizierungssystem verbessert, in dem bei telefonischen Kundenanfragen weitere Daten abgefragt werden. Außerdem soll als zweiter Schritt „ein neues , technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt werden.“ Was damit konkret gemeint ist, hat 1&1 bisher nicht veröffentlicht.
Der nun mit einem Bußgeld geahndete unzureichende Authentifizierungsverfahren ist laut Kleber ein Verstoß gegen Artikel 32 der EU-Datenschutz-Grundverordnung (DSGVO). Die Höhe des Bußgelds ist wie Kleber erklärt deshalb so hoch, weil nicht nur einzelne Kunden betroffenen waren, sondern das unsichere Authentifizierungsverfahren die gesamten Kundendaten bedrohte. Es handelt sich trotzdem um ein Bußgeld „im unteren Bereich des Möglichen“. Der volle Bußgeldrahmen wurde nicht ausgeschöpft, weil 1&1 sich einsichtig zeigte und gut kooperiert hat.
Bußgeld laut 1&1 unverhältnismäßig hoch
In den Stellungnahme von 1&1 spricht das Unternehmen hingegen von einem „absolut unverhältnismäßigen.“ Berechnet wurde die Höhe nach einer neuen Regelung, die ab dem 14. Oktober 2019 veröffentlicht wurde und die sich am Gesamtumsatz eines Unternehmens orientiert. Laut 1&1 können so „bereits kleinste Abweichungen riesige Geldbußen zur Folge haben.“ Dies verstößt aus Unternehmenssicht gegen die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit, die im Grundgesetzt verankert sind.
Außerdem soll das Konzept zur Bußgeldbemessung, das im Oktober 2019 auf der Datenschutzkonferenz (DSK) veröffentlicht wurde, gegen die DSGVO verstoßen, die den Umsatz von Unternehmen nicht als Faktor bei der Berechnung von Bußgeldhöhen vorsieht.
