Datenschutzbeauftragter verhängt Millionenbußgeld gegen 1&1
Hat 1&1 die Daten seiner Kunden nicht gut genug geschützt? Die Telekommunikationsfirma soll ein Bußgeld in Höhe von 9,55 Millionen Euro bezahlen - und will dagegen nun juristisch vorgehen.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, hat ein Millionenbußgeld gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH (1&1) verhängt. In einer Ankündigung von Kelbers Behörde ist von einem Bußgeldbescheid in Höhe von 9,55 Millionen Euro die Rede - und davon, dass es sich um ein Bußgeld "im unteren Bereich" des möglichen Rahmens handle, weil sich 1&1 "während des gesamten Verfahrens" kooperativ verhalten habe. Unter anderen Umständen wäre das Bußgeld also wahrscheinlich höher ausgefallen.
Kelbers Behörde wirft 1&1 einen Verstoß gegen Artikel 32 der Datenschutz-Grundverordnung (DSGVO) vor. Darin heißt es, dass Unternehmen mit Blick auf den Datenschutz "geeignete technische und organisatorische Maßnahmen" treffen müssen, "um ein dem Risiko angemessenes Schutzniveau zu gewährleisten".
1&1 soll in der Vergangenheit aber keine "hinreichenden technisch-organisatorischen Maßnahmen ergriffen" haben. Nach Angaben des Bundesbeauftragten konnten Dritte über die telefonische Kundenbetreuung des Unternehmens Auskünfte zu anderen Kunden bekommen. Es reichte demnach schon, den Namen und das Geburtsdatum eines Kunden zu kennen, um an weitere Informationen zu dieser Person zu gelangen. Das Problem habe nicht nur für einen geringen Teil der Kunden ein Risiko dargestellt, sondern für den gesamten Kundenbestand.
Änderungen bei der Authentifizierung
Nachdem der unzureichende Datenschutz bemängelt wurde, habe sich 1&1 "einsichtig und äußerst kooperativ" verhalten, heißt es weiter. Zunächst sei der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert worden. In einem weiteren Schritt werde 1&1 nun "nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren" einführen.
Das Bußgeld gegen 1&1 ist das zweite Millionenbußgeld, das in Deutschland im Kontext der DSGVO verhängt wurde. Anfang Novemberhatte sich bereits der Immobilienkonzern Deutsche Wohnen mit einem Bescheid in Höhe von 14,5 Millionen Euro konfrontiert gesehen. Die Berliner Datenschutzbehörde warf dem Unternehmen vor, über Jahre hinweg sensible Daten seiner Mieter rechtswidrig archiviert zu haben.
"Die europäische Datenschutz-Grundverordnung gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden", heißt es von Ulrich Kelber. "Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an."
1&1 will klagen
1&1 sieht das mit der "gebotenen Angemessenheit" anders. In einer Stellungnahme spricht das Unternehmen von einem "unverhältnismäßigen" Bußgeld. Man werde den Bußgeldbescheid "nicht akzeptieren und dagegen klagen".
"Die neue Bußgeldregelung, nach der die Summe berechnet wurde, und die für die gesamte deutsche Wirtschaft gilt, wurde am 14. Oktober 2019 veröffentlicht und orientiert sich am jährlichen Konzernumsatz", kritisiert die Datenschutzbeauftragte von 1&1, Julia Zirfas. "So können bereits kleinste Abweichungen riesige Geldbußen zur Folge haben."
Aus Sicht von 1&1 geht es nur um einen "Einzelfall". Der fragliche Fall habe sich 2018 ereignet, schreibt das Unternehmen: "Konkret ging es um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners".
1&1 betont außerdem, dass es seine Sicherheitsanforderungen seit 2018 weiterentwickelt habe. Unter anderem werde das Unternehmen in den nächsten Tagen jedem seiner Kunden eine persönliche Service-PIN bereitstellen.
Dem SPIEGEL lag am Montag bereits eine Mail vor, in der 1&1 seinen Kunden die Service-Pin vorstellt. Darin heißt es: "Bitte halten Sie ab sofort immer Ihre persönliche 1&1 Service-PIN sowie zusätzlich Ihre 1&1 Rufnummer oder Ihre 1&1 Vertragsnummer bereit, wenn Sie bei uns anrufen. So kann der telefonische Kundenservice Sie als Vertragspartner identifizieren. Sie brauchen diese Angaben ab dem 16.12.2019 zwingend für Ihren Anruf bei uns. Nur so können Sie telefonisch auf Ihre 1&1 Verträge zugreifen oder diese ändern. Bitte geben Sie diese Daten nicht an Dritte weiter."
Die Pin sei im 1&1 Control-Center unter "Kundendaten" hinterlegt, heißt es. Es handele sich um eine fünfstellige Nummer.
mbö