(DEU) TOMs ungenügend - 9,55 Mio € Bußgeld für 1&1
Arnold Redhammer | 11.December 2019Artikelinhalt
Wenn es der Ex-Frau möglich ist, die Telefonnummer des Ex-Mannes lediglich mit dessen Namen und dessen Geburtsdatum zu erhalten, dann ist das dem Bundesdatenschutzbeauftragten 9,55 Mio € Bußgeld wert. So die Schilderungen von 1&1.
Die Behörde sieht in dem Fall, dass es „keine hinreichenden technisch-organisatorischen Maßnahmen gegeben habe, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können“
Wie bereits im September angekündigt machen die Deutschen Behörden mittlerweile Ernst.
Der Bundesdatenschutzbeauftragte Ulrich Kelber moniert, dass es bei 1&1 besonders einfach ist "weitreichende Informationen zu weiteren personenbezogenen Kundendaten" zu erhalten.
Das Abfragen von Name und Geburtsdatum ist schlicht zu wenig um personenbezogene Daten vor dem Einblick durch Dritte zu schützen, stellt die Aufsichtsbehörde zu Recht fest.
Die Bundesdatenschutzbehörde sieht darin einen Verstoß gegen Artikel 32 DSGVO, nach dem Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Verarbeitung personenbezogener Daten systematisch zu schützen.
1& 1 hat bereits im Laufe des Ermittlungsverfahrens zugesichert, dass der „Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert“ wird und vor allem interessant, „ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren“ einführen will - warum nicht gleich könnte man fragen.
Das Bußgeld wird schlicht und einfach damit begründet, dass es sich um einen grundlegenden strukturellen Mangel handelt.
Zu beachten sei, dass „unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt (war), sondern ein Risiko für den gesamten Kundenbestand darstellte“.
Da 1&1 bereits von Beginn an Einsichtigkeit und Kooperationsbereitschaft zeigte, wurde vom Bundesdatenschutzbeauftragten lediglich eine Strafe im „unteren Bereich des möglichen Bußgeldrahmens“ verhängt.
1&1 wird natürlich berufen, da jedoch Aussagen gefallen sind, nach denen aus Sicht des Unternehmens die DSGVO keine Kopplung der Bußgeldhöhe an Unternehmensumsätze vorsieht, sollte man sich vorher offensichtlich noch intensiver mit der DSGVO befassen. Ich kann mich dunkel erinnern vor langer Zeit schon etwas von 2% bzw. 4% vom Globalen Umsatz gelesen zu haben ;)
Wie Ist dieses Urteil generell einzuordnen?
Wie netzpolitik.org sehr schön zusammen fasst: Strukturelle Mängel werden offenbar langsam richtig teuer!
Erst die Berliner Datenschutzbeauftragte im Fall Deutsche Wohnen jetzt der Bundesdatenschutbeauftragte mit einem strukturellen Mangel - Millionen-Bußgelder verhängt.