12.12.2019
Wie am Montag bekannt wurde, hat der Bundesbeauftragte für den Datenschutz und die Datensicherheit (BfDI) Ulrich Kelber gegen die 1&1 Telecom GmbH wegen eines sich bereits 2018 ereigneten Sachverhalts ein drastisches Bußgeld verhängt.
Am Montag, den 09.12.2019 verhängte der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Ulrich Kelber, das nächste hohe DSGVO-Bußgeld – und das, obwohl sich die 1&1 Telecom GmbH (1&1) bei der Behebung der Datenschutzmängel „einsichtig und äußerst kooperativ“ verhalten habe. Die Verhängung des Bußgelds sei gleichwohl geboten gewesen, da das unzureichende Authentifizierungsverfahren eine Gefahr für den gesamten Kundenbestand dargestellt habe.
Der BfDI bemängelte, dass im Rahmen des telefonischen Authentifizierungsverfahrens von 1&1 allein Namen und Geburtsdatum der Kunden abgefragt wurden. Durch diese Angaben hätten die Anrufer weitreichende Informationen zu weiteren personenbezogenen Daten des Kunden erhalten können. Nach Auffassung von Ulrich Kelber habe das Unternehmen somit keine hinreichenden technisch-organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO ergriffen, um Kundendaten vor einer unbefugten Offenlegung gegenüber nicht berechtigten Dritten zu schützen.
Tatsächlich gelang es aufgrund dieser leicht zu überwindenden Hürde bereits 2018 einer Anruferin, die Telefonnummer ihres von ihr gestalkten Ex-Partners zu erlangen.
1&1 hat angekündigt, gegen den aus ihrer Sicht unverhältnismäßigen Bußgeldbescheid klagen zu wollen. Die neue Bußgeldlogik verstoße gegen das Grundgesetz, insbesondere gegen die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit, so Julia Zirfas, die Datenschutzbeauftragte von 1&1.
Es ist bereits das zweite Bußgeld in Millionenhöhe, welches in Deutschland verhängt wurde, seitdem sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf neue Maßstäbe zur Berechnung von DSGVO-Bußgeldern verständigt hat. Das neue Modell soll eine nachvollziehbarere Bußgeldpraxis ermöglichen. Im November 2019 hatte die Berliner Beauftragte für Datenschutz bereits ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE verhängt.
Die Entscheidung lässt offen, wie eine datenschutzkonforme Identifizierung am Telefon auszusehen hat. Möglich wäre es, weitere persönliche, in der Regel nur dem Kunden bekannte Daten wie z.B. Kontodaten oder eine Vertragsnummer abzufragen. Zudem könnte eine persönliche Sicherheitsfrage eingerichtet oder bei Vertragsschluss eine individuelle PIN vergeben werden. Ein solches Vorgehen ist etwas umständlicher, ohne jedoch seinerseits absolute Sicherheit für die Daten der Betroffenen zu gewährleisten. Aus Unternehmenssicht wären klare Vorgaben, welche Ausgestaltung die Authentifizierung am Telefon haben sollte, sicherlich hilfreich. 1&1 hat sich dazu entschieden, eine persönliche Abfrage-PIN einzuführen und bereits mit der Umsetzung sowie der Information der Kunden begonnen.
Für Unternehmen hat die Entscheidung eine hohe Relevanz. Sie müssen prüfen, ob das von ihnen gewählte Authentifizierungsverfahren ausreichend stark ist oder durch die Abfrage von weiteren, nur dem Kunden bekannten Daten (z.B. persönliche PIN) verbessert werden muss. Der hier einschlägige Fall des telefonischen Authentifizierungsverfahrens ist nur ein Beispiel: Auch in allen sonstigen Bereichen müssen Unternehmen prüfen, ob die von ihnen eingesetzten technisch-organisatorischen Maßnahmen im Hinblick auf die Risiken für die betroffenen Personen ausreichend erscheinen (z.B. Zutritts-, Zugangs-, Zugriffs-, Weitergabekontrollen etc.) und die Vertraulichkeit personenbezogener Daten gewährleistet wird – ansonsten kann es schnell sehr teuer werden.
Johannes Klausch, LL.M. (London)
Senior Associate
Berlin
Dr. Christian Rabe
Senior Associate
Hamburg
Patricia Lungwitz
Wissenschaftliche Mitarbeiterin
Berlin
Johannes Klausch, LL.M. (London)
Partner
Berlin
johannes.klausch@luther-lawfirm.com
+49 152 0162 1165
Dr. Christian Rabe
Senior Associate
Hamburg
christian.rabe@luther-lawfirm.com
+49 40 18067 14946