DSGVO-Verstoß: 1&1 klagt gegen Strafe in Höhe von 10 Millionen Euro
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat 1&1 mit einer Geldstrafe in Höhe von 10 Millionen Euro wegen Verstößen gegen die DSGVO belegt. Der Telekommunikationsdienstleister kritisiert die Bußgeldregelungen des BfDI und hat seinerseits Klage gegen die Strafe eingereicht.
Kundendaten telefonisch leicht erfragbar
Wie der BfDI gestern bekanntgegeben hatte, hat die oberste Bundesbehörde für Datenschutz und die Informationsfreiheit die 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.
„Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können“, so der BfDI.
Wie die oberste Bundesbehörde mit Sitz in Bonn weiter ausführt, sieht der BfDI darin einen klaren Verstoß gegen Artikel 32 DSGVO, nach dem Unternehmen dazu verpflichtet sind, „geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.“
Aus der Pressemitteilung geht hervor, dass der BfDI Kenntnis darüber erlangt hatte, dass Anrufer bei der Kundenbetreuung von 1&1 allein durch Angabe des Namens und des richtigen Geburtsdatums eines Kunden weitreichende und zu schützende Informationen zu weiteren personenbezogenen Kundendaten erhalten haben. Dieses telefonische Authentifizierungsverfahren hält die Bundesbehörde im Sinne der DSGVO für nicht konform.
1&1 kooperiert und klagt
Obwohl sich die 1&1 Telecom GmbH zuerst einsichtig zeigte und kooperierte, wie der BfDI mitteilte, will das Unternehmen nun gegen den Bußgeldbescheid klagen. Wie 1&1 seinerseits in einer Pressemitteilung verlauten lässt, hält das Unternehmen das Bußgeld für unverhältnismäßig. Zudem verstoße die Bußgeldlogik laut Auffassung von Dr. Julia Zirfas, ihres Zeichens Datenschutzbeauftragte von 1&1, gegen das Grundgesetz.
Das Bußgeld ist absolut unverhältnismäßig. Die neue Bußgeldregelung, nach der die Summe berechnet wurde und die für die gesamte deutsche Wirtschaft gilt, wurde am 14. Oktober 2019 veröffentlicht und orientiert sich am jährlichen Konzern-Umsatz. So können bereits kleinste Abweichungen riesige Geldbußen zur Folge haben.
In der Datenschutz-Grundverordnung (DSGVO) ist der Umsatz allerdings nicht als Kriterium für die Bemessung der Bußgeldhöhe vorgesehen. Darüber hinaus verstößt die neue Bußgeldlogik gegen das Grundgesetz, insbesondere die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit.
Dr. Julia Zirfas, Datenschutzbeauftragte von 1&1
Der BfDI sah ungeachtet der mittlerweile durch 1&1 ergriffenen Maßnahmen die Notwendigkeit der Verhängung einer Geldbuße geboten. So war laut der Bundesbehörde der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, „sondern stellte ein Risiko für den gesamten Kundenbestand dar.“ Zudem bewege sich das Bußgeld „aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1“ im unteren Bereich des möglichen Bußgeldrahmens.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte erst im Oktober dieses Jahres ihr Konzept zur Bußgeldzumessung (PDF) in Verfahren gegen Unternehmen veröffentlicht – welches sich stark an den Umsätzen der Unternehmen orientiert und auf Basis dieser den Rahmen der zu verhängenden Tagessätze festlegt.