BfDI verhängt Millionenstrafe gegen 1&1 wegen Verstößen gegen die Datenschutz-Grundverordnung
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber hat gegen die 1&1 Telecom GmbH eine Geldbuße in Höhe von 9,55 Millionen Euro verhängt. Das Unternehmen habe keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können, hieß es zur Begründung.
Man werde das Grundrecht auf Datenschutz durchsetzen, bekräftigte Kelber. Zwar hätten sich die Verantwortlichen von 1&1 einsichtig gezeigt und in einem ersten Schritt den Authentifizierungsprozess stärker abgesichert. Auch führe das Unternehmen derzeit ein neues, technisch und datenschutzrechtlich verbessertes Verfahren ein. „Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten“, so die Datenschützer. Der Verstoß habe ein Risiko für alle Kunden dargestellt. Bei der Höhe der Strafe sei der BfDI im unteren Bereich des Bußgeldrahmens geblieben.
Gegenklage angekündigt
1&1 kündigte an, den Bußgeldbescheid nicht zu akzeptieren und dagegen zu klagen. Der fragliche Fall habe sich bereits 2018 ereignet. Damals habe ein Kunde die Handynummer eines ehemaligen
Lebenspartners telefonisch abfragen wollen. Die zuständige Mitarbeiterin habe alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien erfüllt. „Zu diesem Zeitpunkt war eine Zwei-FaktorAuthentifizierung üblich, einen Marktstandard für höhere Sicherheitsanforderungen gab es nicht“, so das Unternehmen. Julia Zirfas, Datenschutzbeauftragte von 1&1, betont die hohen Sicherheitsstandards und beteuert, die Sicherheit der Kundendaten habe oberste Priorität. „Das Bußgeld ist absolut unverhältnismäßig“, kritisiert sie. Außerdem verstoße die Bußgeldlogik gegen das Grundgesetz, insbesondere gegen die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit.