DSGVO-Verstoß: 1&1 soll Millionenstrafe zahlen

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Die 1&1 Telecom GmbH bietet für ihre Kunden eine telefonische Kundenbetreuung an. Hierbei wird der Kunde zunächst identifiziert, um dann mittels der zur Verfügung stehenden Kundeninformationen das Anliegen zu bearbeiten. Dieses Verfahren zeigt jedoch Sicherheitsrisiken auf, da nicht ausreichend Vorkehrungen zur eindeutigen Identifizierung des Kunden vorgenommen werden.

Im vorliegenden Fall hatte der frühere Lebenspartner angegeben im Auftrag des Kunden zu handeln und gab die ihm bekannten Authentifizierungsdaten an. So genügte bereits die Angabe des Namens und Geburtsdatums, um weitreichende Informationen zu weiteren personenbezogenen Daten des Kunden zu erhalten.

Das bisherige Authentifizierungsverfahren ermöglichte somit Unberechtigten vergleichsweise einfach Auskünfte zu Kundendaten zu erhalten. Die 1&1 Telecom GmbH verstieß mithin gegen Art. 32 DSGVO. Danach müssen Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen, um die Verarbeitung personenbezogener Daten systematisch zu schützen.

Inzwischen wurde nach intensiver Zusammenarbeit mit der Behörde ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt. Es gilt infolgedessen zu beachten, dass die Höhe des Bußgeldes nach der neuen Berechnung eines Bußgeldes noch höher hätte ausfallen können.

Für Rückfragen zur Umsetzung der geeigneten technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO wenden Sie sich an Dr. Stefan Drewes unter 0228‑90248070 oder per Mail an .