1&1 muss wegen eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) 9,55 Millionen Euro Strafe zahlen. Das teilte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) mit. Konkret richtet sich das Bußgeld gegen den DSL- und Mobilfunkanbieter 1&1 Telecom GmbH, eine Tochter von 1&1 Drillisch.
Der Fall, um den es geht, ereignete sich 2018: Damals erfragte ein Anrufer bei 1&1 die Handynummer eines ehemaligen Lebenspartners. Eine zuständige 1&1-Mitarbeiterin gab die Nummer telefonisch heraus – unter Erfüllung der damals bei dem Unternehmen geltenden Sicherheitsrichtlinien. „Zu diesem Zeitpunkt war eine Zwei-Faktor-Authentifizierung üblich, einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen gab es nicht“, betont der Konzern.
Dass ein Anrufer lediglich den Namen sowie das Geburtsdatum eines Kunden nennen musste, um weitere Daten zu erlangen, wertet die Datenschutzbehörde allerdings als klaren Verstoß gegen den Paragraphen 32 der aktuell geltenden DSGVO. Demzufolge sind Unternehmen dazu verpflichtet, „geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen“.
1&1 ist über Bußgeld empört
Die Höhe der Sanktion sorgt bei 1&1 für Unverständnis: „Das Bußgeld ist absolut unverhältnismäßig“, lässt sich die Datenschutzbeauftragte von 1&1, Julia Zirfas, in einer Mitteilung des Unternehmens zitieren. Sie sei nach der neuen im Oktober veröffentlichten Bußgeldregelung berechnet worden, laut der die Summen unter Berücksichtigung des Unternehmensumsatzes festgesetzt werden. In der Datenschutzgrundverordnung sei der Umsatz allerdings nicht als Kriterium für die Bemessung der Bußgeldhöhe vorgesehen, argumentiert Zirfas.
Darüber hinaus verstoße die neue Bußgeldlogik der 1&1-Vertreterin zufolge gegen das Grundgesetz, „insbesondere die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit“, heißt es weiter. Das Unternehmen will nun versuchen, den Bußgeldbescheid anzufechten und will dafür Klage gegen den Bescheid einreichen.
BfDI im „unteren Bereich“ des Bußgeldrahmens geblieben
Das BfDI sieht die Sache anders und ist nach eigenen Angaben sogar „im unteren Bereich des möglichen Bußgeldrahmens“ geblieben. Der Grund: 1&1 habe sich „einsichtig und äußerst kooperativ“ gezeigt, nachdem die Behörde den nicht ausreichenden Datenschutz bemängelt habe. Das Bußgeld sei dennoch notwendig gewesen, da der Verstoß nicht nur eine Teilgruppe der Kunden betraf, sondern ein „Risiko für den gesamten Kundenbestand“ darstellte.
1&1 hat inzwischen seine Authentifizierungsprozesse aufgerüstet und fragt nun weitere Daten ab. In den nächsten Tagen ist ein weiterer Schritt geplant: Jedem Kunden wird eine persönliche Service-PIN bereitgestellt.
BfDI will andere Telekomanbieter untersuchen
Der Fall zeigt deutlich, dass die zuständigen Behörden es mit der Ahndung von DSGVO-Verstößen ernst meinen. Für Unternehmen steigt damit das Risiko saftiger Geldbußen. Erst im Oktober wurde der Immobiliengesellschaft Deutsche Wohnen wegen eines DSGVO-Verstoßes ein Bußgeld über 14,5 Millionen Euro auferlegt.
1&1 könnte nicht der letzte Telekommunikationskonzern sein, den es trifft. Die Behörde nimmt „aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen“ unter die Lupe.
Olivia Harder ist Redakteurin bei FINANCE und verfolgt schwerpunktmäßig die aktuellen Entwicklungen im Private-Equity- und M&A-Geschäft. Sie hat Philosophie, Politikwissenschaften, Soziologie und Geographie an der Justus-Liebig-Universität in Gießen studiert, wo sie auch einen Lehrauftrag innehatte. Vor FINANCE arbeitete Olivia Harder in den Redaktionen mehrerer Wochen- und Tageszeitungen, unter anderem beim Gießener Anzeiger.
