News DSGVO-Verstoß: 1&1 klagt gegen Strafe in Höhe von 10 Millionen Euro

[TrueAzrael]

Ich finds ja irgendwie nicht das beste Signal für die eh schon verunsicherten Klein- und Mittelständer wenn man gleich zum Bußgeld greift. Ich kenn die deutsche Umsetzung der DSGVO nicht, aber zumindest die europäische Urfassung die ich gelesen habe ermöglicht auch erstmal nur Verwarnungen. Vielleicht würden die Unternehmen ja eh kuschen wenn der große Bußgeldhammer droht. Andererseits haben die Leute in den entsprechenden Behörden vermutlich mehr Erfahrungen damit als ich.

Die 10 Millionen die 1&1 jetzt irgendwo hin zahlen muss auf Grund des magelnden Datenschutzes werden die wieder reinholen müssen. Das werden die machen indem sie Mitarbeiter entlassen oder die Packetpreise erhöhen, in beiden Fällen hat der Kunde doppelt verloren (er bekommt keine Abfindung dafür dass mit seinen Daten schlampig umgegangen ist und er muss für derern magelnden Umgang demnächst mehr bezahlen)

Die DSGVO ermöglicht jedem Betroffenen Schadensersatz einzuklagen, fragt sich halt wie du den Schaden bezifferst.

Edit: Würde es z.B. sinnvoller finden nur zu verwarnen, dafür aber den Betroffenen dabei helfen an ihren Schadensersatz zu kommen, die können das Geld idR besser brauchen. Wenn sich trotz Verwarnung nichts bessert kann man immer noch die 100 Millionen Euro max Strafe ansetzen.

 

[AncapDude]

Staat ist so geil. Wenn wir ihn nicht hätten, müssten wir ihn erfinden.

 

[Smartin]

Als Laie auf dem Gebiet frage ich mich immer, inwiefern man solche Bußen nicht eher am Gewinn festmachen sollte. Oder wird dieser dann mit diversen Tricks geschönt und niedrig gehalten? Einem Unternehmen mit Riesenumsatz aber sehr geringer Gewinnmarge können doch auf den Umsatz berechnete Strafen durchaus das Genick brechen, oder sehe ich das falsch?

Ja und nein. Gewinn kann man runterrechnen. Dann macht ein Unternehmen halt absichtlich Verlust bzw. "investiert" und entgeht so seinen Strafen. Das kann es ja auch nicht sein. In dem Fall würde der Steuerzahler ja mittelbar das Unternehmen noch mitsubventionieren, weil die eigentliche Geldbuße nicht durchsetzbar ist. Oder was machst Du mit Unternehmen, die rote Zahlen schreiben, also gar keine Gewinne erzielen, was in der Wirtschaftswelt üblich ist, denn die Unternehmen wollen ja möglichst wenig Steuern zahlen.
Genick brechen sehe ich da auch nicht:
1. die Geldbuße ist "bis zu" 20 Mio oder "bis zu" 4% der Weltjahresumsatzes. D.h. das ist die Höchstgrenze und dafür muss alles schief gelaufen sein, inkl. Verweigerung Uneinsicht etc.
2. Die Buße unterliegt dem Ermessensspielraum. Und da kann man geringe Gewinne vs hohe Umsätze sicher auch bei der Höhe der Buße berücksichtigen.
3. Es soll ja auch weh tun und abschrecken und die Unternehmen anhalten, sauber und vernünftig am Markt zu agieren.

EDIT:
Und ganz ehrlich, obwohl ich den Fall nicht kenne, aber wenn eine Telekommunikationsdienstleister, deren Kerngeschäft Datenübertragung ist, bei den TOMs (Technisch Organisatorischen Maßnahmen) versagt, und damit bei den absoluten Basics des Datenschutzrechtes, dann ist da schon einiges schief gelaufen.
So auch bei "Deutsche Wohnen", die vor 2 Jahren geprüft wurden und grobe Datenschutzmängel festgestellt wurden (keine Löschung nicht mehr benötigter Daten) und nach 2 Jahren, bei der nächsten Prüfung, sich aber auch gar nichts geändert hatte. Was sollen die Behörden da machen, außer die Gerte rausholen? Mein Mitleid hält sich da in Grenzen.

 

[-Ps-Y-cO-]

Wollte eine Ex-Frau nicht die Nummer Ihres Ex-Mann bekommen der bei 1&1 Arbeitet??
Das wären dann aber keine "Kundendaten"!

 

[joshlukas]

@Chiaki
Ich finde schon das es mich etwas angeht, es sind ja meine Daten die nicht mit sorgfalt behandelt wurden. Wenn meine Informationen durch deren schlamperei im Umlauf sind dann bin ich ein betroffener und möchte dafür entschädigt werden.

Dann musst du klagen. Eine Strafe ist keine Entschädigungszahlung. Wenn ich mit Tempo 120 durch eine Baustelle bei erlaubtem Tempo 60 durchrase und ich erwischt werde, werden alle um mich herum auch nicht aus meiner zu zahlender Geldstrafe "entschädigt", weil sie durch meinen flotten Fahrstil "bedroht" waren.

 

[ThomasK_7]

Aufgrund welcher gesetzlicher Regelung möchtest Du Entschädigung?
Wer hat Deine Daten bzw. wo sind sie im Umlauf?
Sind Deine Daten überhaupt etwas wert? (wenn ich mir so Dein Profilbild angucke, eher nicht)

 

[Mihawk90]

Vielleicht habe ich hier einen Verständnisfehler und jemand kennt sich mehr aus.

Die "neue"/aktuelle DSGVO basiert doch auf der GDPR oder nicht?
Dort sind doch am weltweiten Konzernumsatz gemessene Strafen relativ eindeutig geregelt:

https://gdpr.eu/fines/

Wieso ist 1&1 jetzt der Meinung das wäre nicht geregelt?

Wollte eine Ex-Frau nicht die Nummer Ihres Ex-Mann bekommen der bei 1&1 Arbeitet??
Das wären dann aber keine "Kundendaten"!

Das eine hat doch mit dem anderen nichts zu tun. Nur weil jemand dort arbeitet heißt das doch nicht, dass er nicht auch Kunde sein kann O.o

 

[(-_-)]

Die werden doch irgendwo hin Überwiesen und für andere Sachen genutzt, nur leider weiss man nicht wofür

Man könnte z.B. die Leute bezahlen, die tagtäglich Datenlecks aufdecken.

 

[TheOneofAll]

Und ganz ehrlich, obwohl ich den Fall nicht kenne, aber wenn eine Telekommunikationsdienstleister, deren Kerngeschäft Datenübertragung ist, bei den TOMs (Technisch Organisatorischen Maßnahmen) versagt, und damit bei den absoluten Basics des Datenschutzrechtes, dann ist da schon einiges schief gelaufen.
So auch bei "Deutsche Wohnen", die vor 2 Jahren geprüft wurden und grobe Datenschutzmängel festgestellt wurden (keine Löschung nicht mehr benötigter Daten) und nach 2 Jahren, bei der nächsten Prüfung, sich aber auch gar nichts geändert hatte. Was sollen die Behörden da machen, außer die Gerte rausholen? Mein Mitleid hält sich da in Grenzen.

Oh, mir ging es nicht so sehr um den konkreten Fall sondern eher allgemein um Strafen. Wie von dir und anderen erläutert (und ja auch von mir vermutet) ist es am Gewinn nicht umsetzbar insofern verständlich, dass es so gehändelt wird. Inwiefern das Strafmaß angemessen ist kann die zuständige Behörde (hoffentlich) besser einschätzen, als wir.

 

[ayngush]

Wollte eine Ex-Frau nicht die Nummer Ihres Ex-Mann bekommen der bei 1&1 Arbeitet??
Das wären dann aber keine "Kundendaten"!

Mitarbeiterdaten müssen sogar mit noch mehr Aufwand geschützt werden. Auch Mitarbeiter sind Personen! Nirgens steht, dass nur "Kundendaten" geschützt werden müssen. Es geht um "Betroffenenrechte". Das kann erst mal jeder sein. Ergo: Spielt keine Rolle, ob der Ex bei 1&1 arbeitet oder kunde ist oder beides. Die Daten dürfen nicht einfach so an die Ex herausgegeben werden. Abgesehen davon hagelt es das Bußgeld nicht wegen der Story, sondern, weil keine ordentlichen Maßnahmen ergriffen worden sind, um berechtigte Personen hinreichend am Telefon zu identifizieren. Da ist dann auch irgendwann mal der Datenschutzbeauftragte in einen Unternehmen gefragt, der ja als Stab beratend und Mahnend der GF zur Seite steht und die Geschäftsprozesse entsprechend zu kontrollieren hat...

 

[[wege]mini]

umgestellt.

Mein Mannesmann D2 Vertrag (heute Vodafone) ist von 1996. Mein Passwort für die telefonische Betreuung hat 3 Buchstaben und kein Mensch braucht ein Telefon/Konto/Internetanschluss, der nicht über eine rechtlich privilegierte Gesellschaft läuft wie z.B. eine Pfarrei, ein Steuerbüro oder eine Rechtsanwaltskanzlei. kA was hier neu sein soll.

Mit den Sachbearbeitern auf der anderen Seite der Leitung steht und fällt alles. Wenn du da Lohn gedumpte schlecht ausgebildete Mitarbeiter hast, wird es schwer.

Beim Staat wiederum fehlt seeeehr häufig die Weiterbildung und der persönliche Antrieb der Menschen (wer hart arbeiten will, geht in die freie Wirtschaft, die anderen zum Staat), hier sollte man anfangen etwas zu ändern.

Was man heutzutage alles bei den Meldeämtern und beim Finanzamt erfragen kann (wenn man weiß, wie es geht), ist zum Teil schon nicht mehr feierlich...hier wird keiner tätig.

Die eine Krähe sticht der anderen nun einmal kein Auge aus.

thats life.....die Jungs bei 1&1 werden schon Recht bekommen...ob das dann auch tatsächlich gerecht ist, bleibt dahin gestellt.

mfg

 

[Smartin]

Strafen / Bußgelder sind an sich sehr wichtig, jedoch muss auch eine Verhältnismäßigkeit gewahrt werden.

Vor allem da die 1&1 Einsichtig war und vor allem auch kooperativ und das Problem beseitigt hat, rechtfertigt in meinen Augen in keinster Weise eine Rückwirende Strafe in Millionenhöhe ...

Zumal ich mal anmerken muss das sich der Verstoß gegen die DSGVO im Juli 2018 ereignete und seit dem abgestellt wurde und das JETZT nachdem ein neuer Bußgeldkatalog ( mit wohlgemerkt weitaus höheren Strafen ) eine Strafe ausgesprochen wird, grenzt schon fast an Amtsmissbrauch und Abzocke gegenüber 1und1 ... Zumal von diesen Bußgeldern, betroffene oder die Allgemeinheit nie einen Cent sehen wird!

Ähm
1. die DSGVO gilt seit 25. Mai 2018, also nicht erst "jetzt". Und ehrlich gesagt, wer nach der DSGVO-Einführung so dämlich ist, und sich so einen Bock erlaubt, der gehört auch bebußt. Wenn ich überlege, wie alle seinerzeit vor der Einführung des DSGVO routiert sind und ihre eigenen Prozesse geprüft haben, ob die Erhebung und Verarbeitung DSGVO-Konform ist. Wer das halt nicht macht, braucht sich auch nicht wundern. Mein Mitleid hält sich echt in Grenzen.
2. Die Durchführung von TOM technische Organisatorische Maßnahmen ist nichts neues aus der DSGVO. Das gab es vorher auch schon. Ist absolute Basic und sollte, so man einen Datenschutzbeauftragten hat, gar kein Problem sein. Weder nach dem 25.5.2018 noch davor.
3. Einsichtigkeit schützt vor Strafe nicht. Fast alle Täter sind einsichtig. Das kann und sollte nur zur Minderung der Buße führen. Denn hinterher tut es allen immer Leid. Das ist tägliches Business der Straf- und Ordnungsbehörden.

 

[deo]

Wäre es ein mildes Urteil, würde wohl nicht geklagt. Es wird auch nicht geklagt, wenn damit noch mehr Leichen im Keller gefunden würden. Sozusagen werden Urteile von Unternehmen als Schadensbegrenzung akzeptiert. Ansonsten muss geklagt werden, weil das auch die Aktionäre (Anteilseigner) erwarten, die nicht sehen wollen, wenn Erträge widerstandslos wegbrechen.

 

[ayngush]

1. die DSGVO gilt seit 25. Mai 2018

Möööp. Falsch. Die DSGVO ist am 24. Mai 2016 in kraft getreten und die Karenzzeit ist am 25. Mai 2018 abgelaufen. Man hatte also schon etwas mehr Zeit sich angemessen darauf vorzubereiten.


Abgesehen davon musste man auch schon nach dem alten BDSG entsprechende TOM umsetzen usw. hat nur niemanden gejuckt, weil die Bußgelder mit 250.000 EUR max lächerlich gering waren und die Aufsichtsbehörden zahnlos daherkamen. Das gilt allgemein, du hast es ja richtig aufgeführt, bisu auf das Datum...

 

[Smartin]

@Chiaki
Ich Check es nur nicht, warum bekommen die Betroffenen nicht das Geld da es um deren Privatdaten geht ?
Wer bekommt die 10 Millionen und was wird damit gemacht. Die werden doch irgendwo hin Überwiesen und für andere Sachen genutzt, nur leider weiss man nicht wofür

Weil es um eine Geldbuße geht, und die bekommt Vater/Mutter Staat genau wie Geldstrafen.
Und wenn den betroffenen ein Schaden entstanden ist, steht es ihnen frei den selbst im Wege der Zivilklage beizutreiben. Der Staat ist nicht der Vollstrecker von nicht bewiesenen Geldforderungen zum Wohle des Bürgers.

 

[Mustis]

gleich zum Bußgeld greift.

Gleich? Schau nochmal nach, seit wann die DSGVO existiert und seit wann sie gültig ist. Verwarnungen wurden bereits seit langer Zeit ausgesprochen. gleich...

der ja als Stab beratend und Mahnend der GF zur Seite

Wenn er das gemacht hat und das dokumentiert ist, Isser ja fein raus. MAchen kann er nix wenn die GF es nicht will. Sein letztes Mittel ist eine Anzeige des eigenen Unternehmens bei der Behörde. Das weißt du aber denke ich. ^^

 

[Discovery_1]

Wie sieht es denn bei den Behörden aus? Wenn ich beim Arbeitsamt z. B. eine Direktdurchwahl wähle, reicht in der Regel die Angabe meines Namens und das Geburtsdatum aus um mir Fragen über meine persönlichen Daten zu beantworten. Auch hier könnte doch quasi eine andere Person meine Daten leicht abgreifen. Man bräuchte dann ja nur meinen Namen und das Geburtsdatum. Beim Jobcenter muss ich zusätzlich auch immer meine aktuelle Postanschrift am Telefon angeben. Beim Arbeitsamt habe ich diese Kurzabfrage jetzt schon einige Male erlebt.

 

[habichtfreak]

allein durch Angabe des Namens und des richtigen Geburtsdatums eines Kunden weitreichende und zu schützende Informationen zu weiteren personenbezogenen Kundendaten erhalten haben. Dieses telefonische Authentifizierungsverfahren hält die Bundesbehörde im Sinne der DSGVO für nicht konform.

Das läuft doch überall so, wie sollen sie es denn am Telefon auch anders machen? OK, bei der Bank habe ich noch einen Pin, aber das ist doch die Ausnahme. Jeder der kriminelle Energie hat geht zum Altpapiercontainer und findet irgendein Schreiben wo Name, Adresse und Kundennummer drauf steht. In 99% der Fälle reichen diese Infos aus um sie als derjenige auszugeben. Alternative wäre? Der Kunde muss mit Perso persönlich erscheinen? Und was ist wenn derjenige verstirbt? Der Erbe schickt dann Sterbeurkunde und Erbschein erstmal zu allen bevor sie mit ihm reden? Ich hatte kürzlich den Fall und bin froh, dass viele Unternehmen die DSGVO nicht so streng auslegen. Hat vieles einfacher gemacht für mich.

 

[ayngush]

Das läuft doch überall so, wie sollen sie es denn am Telefon auch anders machen?

Indem man den Kunden bei der ersten Datenverarbeitung / zusammnen mit den Vertrag eine PIN übermittelt, die zwingend beantwortet werden muss.

 

[Aduasen]

Das läuft doch überall so, wie sollen sie es denn am Telefon auch anders machen?

Auch bei z.B. einem Unternehmen wie Congstar hat man eine PIN, die abgefragt wird.
Bei anderen Unternehmen auch bereits seit Jahren (noch vor der DSGVO)