Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat laut einer Pressemitteilung vom 09.12.2019 gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH (nachfolgend 1 & 1 abgekürzt) eine Geldbuße von 9.550.000 Euro verhängt.
Darstellung des BfDI
Grund hierfür war eine unzureichende Absicherung, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten. Ein weiteres Bußgeld i.H.v. 10.000 Euro wurde gegen die Rapidata GmbH verhängt.
Der Bundesbeauftragte für den Datenschutz, Ulrich Kelber hat sich hierzu wie folgt geäußert:
„Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.“
Der BfDI hatte im Fall 1&1 Kenntnis erhalten, dass ein Anruf bei der Kundenbetreuung unter Angabe des Namens und des Geburtsdatums genügte, um weitreichende Informationen zu weiteren personenbezogenen Daten des Kunden zu erhalten. Hierin sah der BfDI einen Verstoß gegen Art. 32 DSGVO. Art. 32 DSGVO beinhaltet die Kardinalpflicht für Unternehmen, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen.
1&1 zeigte sich nach der Darstellung des BfDI äußerst kooperativ und einsichtig, nachdem man den Datenschutzverstoß gerügt hatte. Zunächst wurde der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. Weiterhin ist bei 1&1 ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren in Arbeit, das in Abstimmung mit dem BfDI eingeführt werden soll.
Der BfDi sah die Verhängung eines Bußgeldes als geboten an, weil sich der Verstoß nicht nur auf einen kleinen Kundenkreis von 1&1 beschränkte, sondern ein Risiko für den gesamten Kundenbestand darstellte. Man habe sich nach Darstellung des BfDI im unteren Bereich des möglichen Bußgeldrahmens bewegt, was dem kooperativen Verhalten von 1&1 geschuldet sei.
Der BfDI untersucht derzeit weitere Authentifizierungsprozesse von Telekommunikationsanbietern, indem eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden nachgegangen wird.
Zweites Bußgeldverfahren
Gegenstand des Bußgeldes gegen die Rapidata GmbH (Rapidata) ist die gesetzliche Pflicht zur Benennung des Datenschutzbeauftragten gem. Art. 37 DSGVO, die trotz mehrmaliger Aufforderung von der verantwortlichen Stelle vernachlässigt worden war. Die Tatsache, dass es sich hierbei um ein Kleinstunternehmen handelt, wirkte sich indes positiv auf die Bußgeldhöhe aus. Seitens Rapidata ist uns keine Pressemitteilung zu dem verhängten Bußgeld bekannt.
Darstellung von 1&1
1&1 hat in einer eigenen Pressemitteilung vom 09.12.2019 angekündigt, das Bußgeld des BfDI nicht zu akzeptieren und hiergegen zu klagen. Es handele sich um einen Einzelfall, bei dem man nicht den generellen Schutz der Daten von 1&1 berührt sehe, sondern die Frage, wie Kunden auf ihre Vertragsinformationen zugreifen können. Der Fall spielte sich nach Darstellung von 1&1 im Jahr 2018 ab. Gegenstand war die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners. Es seien von der zuständigen Mitarbeiterin alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien erfüllt worden. Eine Zwei-Faktor-Authentisierung sei üblich gewesen, ein höherer Sicherheitsstandard sei nicht marküblich gewesen.
1&1 arbeite daran, die Sicherheitsanforderungen stetig weiterzuentwickeln. Eine dreistufige Authentifizierung wurde in der Zwischenzeit eingeführt und es solle den Kunden zeitnah eine persönliche Service-PIN bereitgestellt werden.
Die Datenschutzbeauftragte von 1&1, Frau Dr. Zirfas äußert sich zum Bußgeld wie folgt:
„Das Bußgeld ist absolut unverhältnismäßig. Die neue Bußgeldregelung, nach der die Summe berechnet wurde und die für die gesamte deutsche Wirtschaft gilt, wurde am 14. Oktober 2019 veröffentlicht und orientiert sich am jährlichen Konzern-Umsatz. So können bereits kleinste Abweichungen riesige Geldbußen zur Folge haben. In der DSGVO ist der Umsatz allerdings nicht als Kriterium für die Bemessung der Bußgeldhöhe vorgesehen. Darüber hinaus verstößt die neue Bußgeldlogik gegen das Grundgesetz, insbesondere die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit.“
Fazit
Der Datenschutzverstoß bei Rapidata wurde mit einem verhältnismäßig geringen Bußgeld geahndet. Nichtsdestotrotz sollte die gesetzliche Pflicht zur Benennung des Datenschutzbeauftragten gem. Art. 37 DSGVO nicht vernachlässigt werden.
Die Darstellung der Parteien im Bußgeldverfahren gegen 1&1 weicht – wenig überraschend – in Teilen voneinander ab. Weder liegt uns der Bußgeldbescheid vor, noch können wir nähere Aussagen zum Sachverhalt treffen. Es fällt jedoch auf, dass die Aufsichtsbehörden Verstöße gegen Maßnahmen zum Schutz der IT-Sicherheit gem. Art. 32 DSGVO konsequenter ahnden als in der Vergangenheit. Die Geldbuße dürfte für 1&1 spürbar sein, was neben einem Reputationsschaden ein weiterer Grund dafür sein mag, gerichtlich gegen den Bescheid vorzugehen.
Die oben zitierte Aussage der Datenschutzbeauftragten von 1&1, der Umsatz sei nach der DSGVO kein Kriterium für die Bemessung der Bußgeldhöhe, ist rechtlich zumindest fragwürdig. In Art. 83 Abs. 4, 5 und 6 DSGVO ist der Jahresumsatz des vorangegangenen Geschäftsjahres jeweils als Bezugsgröße für das Bußgeld angegeben.
Aus Sicht eines Datenschützers ist es erfreulich, dass auch in diesem Verfahren eine gerichtliche Klärung des Bußgeldtatbestands und der Bußgeldhöhe herbeigeführt werden soll. Auch das gegen die Deutsche Wohnen SE wegen eines umfassenden „Archivsystems“ verhängte Bußgeld von 14,5 Millionen Euro ist – ohne den zugrundliegenden Bescheid im Einzelnen zu kennen – in der Bemessung nicht unmittelbar nachvollziehbar. Auch in diesem Fall hat die Deutsche Wohnen SE angekündigt, den Bußgeldbescheid gerichtlich überprüfen zu lassen.
Die Gerichte werden sich in dem Zusammenhang auch mit dem neuen Bußgeldkonzept der unabhängigen Datenschutzaufsichtsbehörde des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen befassen müssen (wir berichteten). Eine Klärung dürfte im Sinne der Unternehmen sein, die oftmals unsicher sind, inwieweit sie personenbezogene Daten datenschutzkonform verarbeiten. Nicht zuletzt kann es im unternehmerischen Interesse erforderlich sein, Rückstellungen für drohende Bußgelder zu bilden, wenn man sich in einer datenschutzrechtlichen Grauzone bewegt. Die Rechtsprechung kann insoweit für mehr Rechts- und Planungssicherheit sorgen, auch wenn die Verfahren vermutlich einige Zeit in Anspruch nehmen werden.
Seien wir gespannt – wir halten Sie gerne über den Ausgang der Klageverfahren auf dem Laufenden.