Wegen DSGVO-Verstoß

Internetfirma 1&1 muss gut 10 Millionen Euro Strafe zahlen


Der Bundesdatenschutzbeauftragte Ulrich Kelber hat gegen die Telekommunikationsfirma 1&1 ein Bußgeld in Höhe von etwa 9,6 Millionen Euro verhängt. (Symbolbild)

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat gegen die Telekommunikationsfirma 1&1 ein Bußgeld in Höhe von etwa 9,6 Millionen Euro verhängt. (Symbolbild)

Von Redaktion idowa und mit Material der dpa

Die Datenschutz-Grundverordnung der EU verpflichtet Unternehmen seit Monaten zu einem besonders sorgfältigen Umgang mit personenbezogenen Daten. Nach ersten sanften Ermahnungen hat der Bundesdatenschutzbeauftragte nun einen DSGVO-Verstoß hart geahndet.

Wegen Datenschutzverstößen bittet eine Bundesbehörde den Mobilfunk- und Festnetzkonzern 1&1 Drillisch kräftig zur Kasse. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber (SPD), verhängte gegen die zum Konzern gehörende Firma 1&1 Telecom eine Geldbuße von gut 9,6 Millionen Euro, wie die Behörde am Montag in Bonn mitteilte.

Aus ihrer Sicht hatte sich der Telekommunikationsdienstleister in seiner Arbeitsstruktur nicht ausreichend geschützt, um Dritten den Zugriff auf persönliche Kundendaten zu verwehren. Diesen systematischen Verstoß belegte die Behörde mit der Geldbuße. In einem Fall rief eine Frau 2018 bei der Hotline an und bekam die Handynummer ihres Ex-Mannes heraus, den sie gestalkt hatte - nur indem sie dessen Namen und Geburtsdatum nannte.

In diesem laxen Authentifizierungsverfahren sah Kelber einen Verstoß gegen Artikel 32 DSGVO. Danach müssen Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen, um die Verarbeitung personenbezogener Daten systematisch zu schützen.

Datenschutz sei Grundrechtsschutz, sagte Kelber. Die Geldbuße sei "ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden". Er verwies darauf, dass die Geldbuße höher hätte ausfallen können, die Firma habe sich aber einsichtig gezeigt und ihre Arbeitsweise in einem ersten Schritt verbessert. In einem zweiten Schritt ist ein neues Authentifizierungsverfahren in in Arbeit.

Die Firma 1&1 Telecom will gegen den Bußgeldbescheid klagen - dieser sei "absolut unverhältnismäßig", monierte die Datenschutzbeauftragte von 1&1, Julia Zirfas. Es habe sich lediglich um einen Einzelfall aus dem Jahr 2018 gehandelt. Aus Sicht von 1&1 ist das Bußgeldschwert auf der Grundlage der Datenschutzgrundverordnung DSGVO zu scharf. Zirfas monierte, dass die Mitte Oktober eingeführte neue Bußgeldlogik der hiesigen Aufsichtsgremien "gegen das Grundgesetz" verstoße. Diese orientiere sich am jährlichen Konzern-Umsatz. So könnten "kleinste Abweichungen riesige Geldbußen zur Folgen haben", sagte die Sprecherin.

Der BfDI untersuche nun nach eigenen Angaben aufgrund von Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen.

Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde demnach erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.