23. November 2020
Das gegen die 1 & 1 Telecom GmbH verhängte Bußgeld in Höhe von 9,55 Millionen Euro (wir berichteten) wurde vom Landgericht Bonn auf 900.000 Euro herabgesetzt.
Aufgrund der Herausgabe einer Telefonnummer verhängte der Bundesdatenschutzbeauftragte Ulrich Kelber das ursprüngliche Bußgeld. Der Telekommunikationsdienstleister habe die Daten der Kunden nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt. Gegen das verhängte Bußgeld ging 1 & 1 gerichtlich vor. Der Bußgeldbetrag sei unverhältnismäßig hoch. Das sah das Landgericht Bonn ähnlich. Die Herausgabe stelle zwar einen grob fahrlässigen Verstoß gegen Art. 32 Abs. 1 DSGVO dar, allerdings habe dies nicht zu einer massenhaften Herausgabe von Daten an Nichtberechtigte geführt.
Darüber hinaus stellte das Landgericht fest, dass die Sanktionen nicht von einem konkreten Verstoß einer Leitungsperson abhängig seien. Das hier anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf. Der Wortlaut der DSGVO enthalte keine Regelungen zur Zurechenbarkeit.
Des Weiteren musste die Kammer aber auch die Schwere des Vergehens bewerten. Das Verschulden des Unternehmens sei dabei gering und das Bußgeld unangemessen hoch, so das Gericht. Zum Zeitpunkt der Herausgabe fehlte es an dem notwendigen Problembewusstsein.
10. Dezember 2019
Gegen die Telekommunikationsfirma 1&1 Telecom GmbH hat der Bundesdatenschutzbeauftragte Ulrich Kelber ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.
Als Grund nannte Kelber das Fehlen von “hinreichenden technisch-organisatorischen Maßnahmen” (TOMs) zum Schutz von Kundendaten. Die zum Konzernverbund gehörenden Mail-Anbieter Web.de und GMX sind davon jedoch nicht betroffen.
Die Aufsichtsbehörde kritisierte das unzureichende Authentifizierungsverfahren der 1&1 Telecom GmbH bei telefonischen Anfragen über die Kundenhotline. Die Angabe von Namen und Geburtsdatum hätten ausgereicht, um weitreichende personenbezogene Kundendaten zu erhalten. Dies stelle einen Verstoß gegen Artikel 32 DSGVO dar, da personenbezogene Daten nicht systematisch geschützt wurden und ein hohes Risiko für den gesamten Kundenbestand entstanden sei.
Das Unternehmen reagierte umgehend indem es den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker absicherte. Darüber hinaus bemühe man sich ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einzuführen.
Aufgrund dieses kooperativen Verhaltens der 1&1 Telecom GmbH bewege sich die Strafe noch im unteren Rahmen des Möglichen.
Gleichzeitig verhängte die Aufsichtsbehörde gegen einen weiteren Telekommunikationsanbieter, namentlich die Firma Rapidata, ein Bußgeld in Höhe von 10.000 Euro wegen eines Verstoßes gegen Artikel 37 DSGVO.
Die 1&1 Telecom GmbH hat inzwischen angekündigt, gegen den “absolut unverhältnismäßigen” Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt.
