Rekordstrafe für 1&1 wegen Datenschutzverstoßes
Allmählich wird der Wind rauer in Datenschutz-Deutschland. Gerade wurde gegen den Telekommunikations-Riesen 1&1 eine Rekordstrafe verhängt.
Kein geringerer als Deutschlands oberster Datenschutzbeauftragter Ulrich Kerber macht ernst: Gegen den Telekommunikations-Konzern 1&1 mit Hauptsitz in Montabaur hat der SPD-Politiker mit 9,55 Millionen Euro das bislang höchste Bußgeld für Datenschutzverstöße in Deutschland verhängt. Im Detail ging es um den Schutz personenbezogener Daten aller 1&1-Telecom-Kunden. Denn – so der Vorwurf – ein Anrufer brauchte bei der Kundenbetreuung des Unternehmens lediglich einen Namen und ein passendes Geburtsdatum angeben, um sich nach dieser kurzen Authentifizierung Zugang zu jeder Menge sensibler Kundendaten verschaffen.
Aufgefallen war der Fall nach Presseberichten durch eine verärgerte Ex-Frau, die sich über den Namen des Ex-Manns und dessen Geburtsdatum, die ihr als Ex-Partnerin selbstverständlich geläufig waren, Zugang zu seinem Account verschaffte, um hier wichtige Informationen abzurufen.
Dieser Schutz der Kundendaten sei völlig unzureichend, lautete die Sichtweise des obersten Datenschützers. 1&1 zeigte sich offensichtlich insgesamt einsichtig, denn es wurde in kurzer Zeit ein deutlich sichereres Identifizierungsverfahren eingeführt. Allerdings hält man seitens 1&1 die Höhe der Strafe für unangemessen, daher wird der Konzern gegen den Bußgeldbescheid auch Rechtsmittel einlegen. Dieser Auffassung folgt der Bundesdatenschutzbeauftragte nicht, vielmehr wies er daraufhin, dass die Strafe auch deutlich höher hätte ausfallen können, da ja alle Kunden des Unternehmens prinzipiell von der Datenunsicherheit betroffen waren. Bei 1&1 hingegen beruft man sich bei der Anfechtung auf die Behauptung, die Bußgeldregelung der DSGVO verstoße gegen das Grundgesetz. Vor allem sieht man seitens 1&1 die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit bei einem Bußgeld in dieser Höhe nicht gewahrt.
Es bleibt mit Spannung zu erwarten, wie die Richter den Fall beurteilen. Da es sich bei 1&1 um einen wirklich großen Player auf dem Markt handelt, wird das Bußgeldverfahren neben dem gerichtlichen Folgeprozess auch einen anderen Effekt haben, wenn man die Worte des Bundesdatenschutzbeauftragten richtig interpretiert. Denn er hat angeregt, nun auch bei vielen anderen Telekommunikationsanbietern anzuklopfen, um sich ein Bild vom jeweiligen Satus der Kundensicherheit in Sachen Datenschutz zu machen. Das könnte auch in Richtung deutlich kleinerer Unternehmen gehen, die Telefonhotlines im Rahmen ihres Kundenservices anbieten.
Auf jeden Fall ist es ratsam für Kundenservice-Hotlines, eine Zweifaktor-Authentifizierung zu verwenden. Eine solche Methode arbeitet mit zwei unterschiedlichen und völlig voneinander getrennten Verifizierungskomponenten, wie beispielsweise Rückfragen zu Details des Vertrags, die nur der Vertragspartner kennen kann. Oder durch einen Rückruf, dann aber nicht ohne eine Überprüfung der Telefonnummer, die der Anrufer angibt. Diese technischen Standards werden von Datenschützern inzwischen als Minimum vorausgesetzt, wenn es um den effektiven Schutz personenbezogener Daten geht.
Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:
- Datenschutz-Fokusthemen
- Veröffentlichungen der Behörden
- Relevante Gerichtsentscheidungen
Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.