Das Unternehmen hatte nach Auffassung des BfDI keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.

Arufer konnten bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und will ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einführen.

Auch wenn die Höhe des Bußgeldes natürlich der Größe von 1&1 und der potenziellen Menge an Kundendaten geschuldet ist, so ist die Frage, wie man selber mit persönlichen Daten von möglichen Kunden umgeht, sei es über Telefon oder E-Mail, relevant für die meisten Unternehmen, die das Risiko eines Bußgeldes oft noch unterschätzen.

*Update*

Die 1&1 Telecom GmbH wird den gegen sie erlassenen Bußgeldbescheid des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (Bundesdatenschutzbeauftragter) nicht akzeptieren und dagegen klagen. Der Bundesdatenschutzbeauftragte hat für einen Einzelfall ein Bußgeld in Höhe von 9,55 Mio. Euro verhängt. Die Behörde wirft 1&1 vor, durch eine nicht den Standards entsprechende Authentifizierung am Telefon, technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten nicht eingehalten zu haben.

In diesem Verfahren ging es nicht um den generellen Schutz der bei 1&1 gespeicherten Daten, sondern um die Frage, wie Kunden auf ihre Vertragsinformationen zugreifen können. Der fragliche Fall ereignete sich bereits 2018. Konkret ging es um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners. Die zuständige Mitarbeiterin erfüllte dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien. Zu diesem Zeitpunkt war eine Zwei-Faktor-Authentifizierung üblich, einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen gab es nicht.

Seitdem hat 1&1 die Sicherheitsanforderungen kontinuierlich weiter-entwickelt. So wurde beispielsweise zwischenzeitlich eine dreistufige Authentifizierung eingeführt und in den nächsten Tagen wird 1&1 – als eines der ersten Unternehmen seiner Branche – jedem Kunden eine persönliche Service-PIN bereitstellen.

Die Datenschutzbeauftragte von 1&1, Dr. Julia Zirfas, betont die hohen Sicherheitsstandards des Unternehmens: „Die Sicherheit der Daten vieler Millionen Kunden hat für uns oberste Priorität. Deshalb hält sich 1&1 strikt an die geltenden Datenschutzvorschriften.