Im September hatte der Bundesdatenschutzbeauftragte Ulrich Kelber angekündigt, dass auch deutsche Aufsichtsbehörden nach ersten Warnschüssen bald Sanktionen auf Basis der Datenschutz-Grundverordnung (DSGVO) in Millionenhöhe verhängen würden. Jetzt hat der Kontrolleur selbst durchgegriffen und die 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Der Telekommunikationsdienstleister, zu dessen Konzernverbund etwa auch die von dem Fall nicht betroffenen Mail-Anbieter Web.de und GMX gehören, hatte Kelber zufolge "keine hinreichenden technisch-organisatorischen Maßnahmen" zum Schutz von Kundendaten ergriffen.

Personenbezogene Daten nicht systematisch geschützt

Die Aufsichtsbehörde wirft der Firma vor, dass Unberechtigte an der Telefon-Hotline vergleichsweise einfach "weitreichende Informationen zu weiteren personenbezogenen Kundendaten" erhalten konnten. Die Angabe von Namen und Geburtsdatum von Betroffenen hätten ausgereicht. In diesem mickrigen Authentifizierungsverfahren sah die Bundesdatenschutzbehörde einen Verstoß gegen Artikel 32 DSGVO, nach dem Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Verarbeitung personenbezogener Daten systematisch zu schützen.

Nachdem die Instanz die ausgemachten Mängel angemahnt hatte, zeigte sich 1&1 Kelber zufolge "einsichtig und äußerst kooperativ. In einem ersten Schritt habe der zu Drillisch gehörende Konzern zunächst den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. Ferner werde derzeit nach Absprache mit der Aufsicht "ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt".

Strafe im unteren Bereich des möglichen Rahmens

Trotz der raschen Anpassungen hielt Kelber es für geboten, die millionenschwere Geldbuße zu verhängen. Der Verstoß habe ein Risiko für den gesamten Kundenbestand dargestellt, begründet der Experte den Schritt. Die Höhe der Strafe bewege sich aufgrund des kooperativen Verhaltens von 1&1 im unteren Bereich des möglichen Bußgeldrahmens. Das Unternehmen selbst betont aktuell auf seiner Startseite im Web: "Ihre Privatsphäre ist uns wichtig! Der Schutz ihrer persönlichen Daten hat für 1&1 oberste Priorität."

Parallel hat der Datenschützer in einem weiteren Verfahren den Telekommunikationsanbieter Rapidata mit einem Bußgeld in Höhe von 10.000 Euro belegt. Dies sei erforderlich gewesen, da die Firma ihrer "gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist". Bei der Höhe der Sanktion habe man berücksichtigt, dass es sich um ein "Kleinstunternehmen" handele.

Die Behörde untersucht "aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen", heißt es in Bonn. Die bisher höchste Geldbuße auf DSGVO-Basis 14,5 Millionen Euro hat die Berliner Datenschutzbeauftragte Maja Smoltczyk jüngst gegen die deutsche Immobiliengesellschaft Deutsche Wohnen verhängt. Diese will den Bescheid aber nicht anerkennen.

[Update 09.12.2019 – 14:20 Uhr]: Die 1&1 Telecom GmbH hat mittlerweile ebenfalls angekündigt, gegen den "absolut unverhältnismäßigen" Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt, bei dem es "um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners" gegangen sei. Die zuständige Mitarbeiterin habe dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien erfüllt. Zu diesem Zeitpunkt sei eine Zwei-Faktor-Authentifizierung üblich, einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen habe es nicht gegeben. In den nächsten Tagen werde man als eines der ersten Unternehmen der Branche jedem Kunden eine persönliche Service-PIN bereitstellen. Die Datenschutzbeauftragte von 1&1, Julia Zirfas, monierte, dass die Mitte Oktober eingeführte neue Bußgeldlogik der hiesigen Aufsichtsgremien "gegen das Grundgesetz" verstoße. Diese orientiere sich am jährlichen Konzern-Umsatz. So können bereits kleinste Abweichungen "riesige Geldbußen zur Folge haben". (mho)