DSGVO: fast 10 Mio Bußgeld wegen ungesicherter Hotline * Update*

Das Unternehmen hatte nach Auffassung des BfDI keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.

Arufer konnten bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und will ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einführen.

Auch wenn die Höhe des Bußgeldes natürlich der Größe von 1&1 und der potenziellen Menge an Kundendaten geschuldet ist, so ist die Frage, wie man selber mit persönlichen Daten von möglichen Kunden umgeht, sei es über Telefon oder E-Mail, relevant für die meisten Unternehmen, die das Risiko eines Bußgeldes oft noch unterschätzen.

*Update*

Die 1&1 Telecom GmbH wird den gegen sie erlassenen Bußgeldbescheid des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (Bundesdatenschutzbeauftragter) nicht akzeptieren und dagegen klagen. Der Bundesdatenschutzbeauftragte hat für einen Einzelfall ein Bußgeld in Höhe von 9,55 Mio. Euro verhängt. Die Behörde wirft 1&1 vor, durch eine nicht den Standards entsprechende Authentifizierung am Telefon, technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten nicht eingehalten zu haben.

In diesem Verfahren ging es nicht um den generellen Schutz der bei 1&1 gespeicherten Daten, sondern um die Frage, wie Kunden auf ihre Vertragsinformationen zugreifen können. Der fragliche Fall ereignete sich bereits 2018. Konkret ging es um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners. Die zuständige Mitarbeiterin erfüllte dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien. Zu diesem Zeitpunkt war eine Zwei-Faktor-Authentifizierung üblich, einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen gab es nicht.

Seitdem hat 1&1 die Sicherheitsanforderungen kontinuierlich weiter-entwickelt. So wurde beispielsweise zwischenzeitlich eine dreistufige Authentifizierung eingeführt und in den nächsten Tagen wird 1&1 – als eines der ersten Unternehmen seiner Branche – jedem Kunden eine persönliche Service-PIN bereitstellen.

Die Datenschutzbeauftragte von 1&1, Dr. Julia Zirfas, betont die hohen Sicherheitsstandards des Unternehmens: „Die Sicherheit der Daten vieler Millionen Kunden hat für uns oberste Priorität. Deshalb hält sich 1&1 strikt an die geltenden Datenschutzvorschriften.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.