Ein Anruf bei der 1&1 Telecom GmbH genügt, um die Daten anderer herauszufinden: Der Anrufer gibt den Namen und das Geburtstagsdatum an und erhält dadurch weitreichende Informationen zu personenbezogenen Kundendaten. Dieses Authentifizierungsverfahren ist ungenügend, entschied nun der Bundesbeauftragte für Datenschutz und Informationsfreiheit. In dem konkret beanstandeten Fall hatte ein Anrufer via telefonischer Abfrage die Handynummer des ehemaligen Lebenspartners ermittelt. 

Keine sichere Verarbeitung

Konkret sieht der Bundesdatenschutzbeauftragte Ulrich Kelber einen Verstoß gegen Art. 32 Datenschutzgrundverordnung (DSGVO). Dieser regelt die Sicherheit der Verarbeitung und sieht vor, dass Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Verarbeitung von personenbezogenen Daten zu schützen. 

Nach eigenen Angaben zeigte sich 1&1 einsichtig und kooperativ: Man werde weitere Angaben bei der Authentifizierung abfragen. In einem nächsten Schritt soll ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt werden. 

Trotz dessen verhängte der Bundesbeauftragte unter der Prämisse „Datenschutz ist Grundrechtsschutz“ eine Geldbuße in Höhe von 9.550.000 Euro. „Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an“, kommentiert Kelber das Vorgehen. 

1&1 klagt gegen Bescheid

Das hohe Bußgeld will das Unternehmen trotz aller Einsicht dennoch nicht einfach akzeptieren: Laut hauseigener Pressemitteilung plant man eine Klage gegen die Forderung. Dort heißt es, dass sich der Bundesdatenschutzbeauftrage auf einen Fall aus dem Jahr 2018 bezieht. Die Mitarbeiterin, die die Daten heraus gab, hielt sich an die damals gültigen Sicherheitsrichtlinien von 1&1. Seitdem hätte sich einiges getan: So sei mittlerweile eine dreistufige Authentifizierung eingeführt wurden, bei der jeder Kunde eine persönliche Service-Pin habe. 

Aber nicht nur deswegen empfindet das Unternehmen das Bußgeld als zu hoch: Es moniert außerdem die neue Berechnungsgrundlage anhand des Vorjahresumssatzes: „So können bereits kleinste Abweichungen riesige Geldbußen zur Folge haben. In der Datenschutz-Grundverordnung (DSGVO) ist der Umsatz allerdings nicht als Kriterium für die Bemessung der Bußgeldhöhe vorgesehen. Darüber hinaus verstößt die neue Bußgeldlogik gegen das Grundgesetz, insbesondere die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit“, wird die Datenschutzbeauftragte des Unternehmens zitiert.

Weitere Verfahren gegen Telekommunikationsdienstleister

Die 1&1 Telecom GmbH ist aber nicht der einzige Telekommunikationsanbieter, der laut dem Bundesdatenschutzbeauftragten Nachbesserungsbedarf hat: Aktuell läuft ein anderes Verfahren gegen die Rapidata GmbH. Der Internetanbieter hat trotz der gesetzlichen Pflicht und der mehrfachen Aufforderung keinen Datenschutzbeauftragten benannt. Da es sich bei der Rapidata um ein Unternehmen der Kategorie Kleinstunternehmen handelt, fiel das Bußgeld mit 10.000 Euro niedriger aus.