Fast 10 Mio. Euro: Heftige Geldstrafe gegen 1&1 wegen Datenschutzes

Das Thema Datenschutz ist heutzutage eines der wichtigsten, wenn es um Telekommunikation geht, doch selbst die ganz Großen des Geschäfts sind nicht vor Verstößen gefeit. Meint jedenfalls der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit im Fall von 1&1. Denn der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat heute in einer Aussendung bekannt gegeben, dass der Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt wird. Dabei geht es um einen eklatanten Verstoß gegen den Datenschutz: Der BfDI kam nämlich zur Ansicht, dass 1&1 "keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen" habe, "um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können".

Geldbuße "unverhältnismäßig"

1&1 hat bereits auf die Vorwürfe reagiert und hat das als "unverhältnismäßig" und einen "Verstoß gegen das Grundgesetz" bezeichnet. Das Telekommunikationsunternehmen hat auch eine Klage gegen diese Entscheidung angekündigt. In einer Pressemitteilung schreibt man: "In diesem Verfahren ging es nicht um den generellen Schutz der bei 1&1 gespeicherten Daten, sondern um die Frage, wie Kunden auf ihre Vertragsinformationen zugreifen können."

Und das Unternehmen erläutert auch, um was es in diesem Fall, der sich 2018 ereignet hat, geht: "Konkret ging es um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners. Die zuständige Mitarbeiterin erfüllte dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien. Zu diesem Zeitpunkt war eine Zwei-Faktor-Authentifizierung üblich, einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen gab es nicht."

Mit den "damals bei 1&1 gültigen Sicherheitsrichtlinien" ist gemeint, dass Anrufer alleine mittels Angabe von Namen und Geburtsdatum an "weitreichende Informationen zu weiteren personenbezogenen Kundendaten kommen konnten", wie der BfDI schreibt. Die Datenschutzbehörde dazu: "In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen."

Grundsätzlich leugnet 1&1 gar nicht, dass das nicht genug war, da man seither die Sicherheitsanforderungen kontinuierlich weiterentwickelt habe. So schreibt auch der BfDI, dass sich 1&1 "einsichtig und äußerst kooperativ" gezeigt habe. Dem Unternehmen passt aber die Höhe des Bußgeldes nicht, wobei die Behörde anmerkt, dass dank des "kooperativen Verhaltens" von 1&1 die Höhe der Geldbuße "im unteren Bereich des möglichen Bußgeldrahmens" geblieben ist.