BfDI verhängt 9,5 Mio. Euro Bußgeld gegen 1&1
Mangels ausreichender Datensicherheit hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.
Wie der BfDI in einer Pressemitteilung vom 09.12.2019 erläutert, ergriff 1&1 keine hinreichenden technisch-organisatorischen Maßnahmen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.
Nach Art. 32 DS-GVO müssen Unternehmen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
In der Tatsache, dass Anrufer bei der 1&1-Kundenbetreuung bereits durch die Angabe des Namens und Geburtsdatums eines bestehenden Kundens „weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten“, wurde ein Datenschutzverstoß gesehen. Bei der Festsetzung der Höhe der Geldbuße wurde vom BfDI berücksichtigt, dass dieser Datenschutzverstoß „nicht nur auf einen geringen Teil der Kunden begrenzt“ war, sondern ein „Risiko für den gesamten Kundenbestand“ darstellte. Aufgrund des kooperativen Verhaltes von 1&1 blieb das Bußgeld laut des BfDI „im unteren Bereich des möglichen Bußgeldrahmens.“
Der BfDI kündigt aufgrund von eigenen Erkenntnissen, Hinweisen und Kundenbeschwerden an, die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen zu überprüfen.
Der Fall zeigt, dass die mangelnde Datensicherheit vermehrt zu hohen Bußgeldern führt und die derzeitigen technisch-organisatorischen Maßnahmen (TOMs) im Unternehmen überprüft werden sollten.
In diesen sog. TOMs kann beispielsweise der Zutritt zu Datenverarbeitungsanlagen (Gebäudesicherung, Videoüberwachung, Zutrittsberechtigungen), der Zugang zu Datenverarbeitungssystemen (Benutzerberechtigungskonzept, Passwort-Richtlinie, Firewalls, Verschlüsselungen) oder Maßnahmen zum Schutz personenbezogener Daten gegen zufällige Zerstörung, Verlust oder Hacking-Angriffe (Brandschutz, Backup & Recovery-Konzept, IT-Notfallkonzept) geregelt werden.
Ihr zuständiger Ansprechpartner ist Robert Faußner, M.A..