home Politik, Technik Verstoß gegen Datenschutzgrundverordnung: 1&1 muss rund 10 Millionen Euro Strafe zahlen

Verstoß gegen Datenschutzgrundverordnung: 1&1 muss rund 10 Millionen Euro Strafe zahlen

Bild: 1und1.de / 1&1

Der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) hat wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) ein Bußgeld in Höhe von 9,55 Millionen Euro gegen den Internetanbieter 1&1 Telecommunications verhängt. Das Unternehmen habe nicht ausreichend verhindert, dass Dritte über die telefonische Kundenbetreuung Kundendaten erfragen, so der Bundesdatenschutzbeauftrage in einer Pressemitteilung. Konkret bemängelte Kelber, dass die Angabe von Name und Geburtsdatum gereicht hätte, um an der Service-Hotline an weitreichende Informationen zu gelangen.

Deutsche Wohnen im November zu 15 Millionen Euro Strafe verurteilt

INFO-BOX:
Datenschutz-grundverordnung (DSGVO)
mehr dazu
Die Datenschutz-grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union (EU), mit der Regeln zur Verarbeitung personenbezogener Daten durch die meisten Datenverarbeiter EU-weit vereinheitlicht werden. Dies soll den Schutz personenbezogener Daten in der EU sicherstellen und den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten. Die DSGVO umfasst 99 Artikel und wurde am 27. April 2016 verabschiedet. Nach einer Übergangsfrist trat sie am 25. Mai 2018 in Kraft. Zusammen mit der sogenannten JI-Richtlinie für den Datenschutz bei Polizei und Justiz bildet sie seither den gemeinsamen Datenschutzrahmen in der Europäischen Union.
Der zu Drillisch gehörende Telekommunikationsdienstleister, zu dessen Konzernverbund auch die von dem Fall nicht betroffenen E-Mail-Anbieter GMX.de und WEB.de gehören, hatte Kelber zufolge „keine hinreichenden technisch-organisatorischen Maßnahmen“ zum Schutz der sensiblen Kundendaten getroffen. „Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden“, so Kelber weiter. Das Bußgeld ist im Vergleich zur früheren Rechtslage sehr hoch, dennoch habe sich die Behörde im Rahmen der seit Mai 2018 greifenden Datenschutzgrundverordnung noch am unteren Sanktions-Level bewegt. 1&1 habe sich „einsichtig und kooperativ“ gezeigt. In Kürze wolle das Unternehmen in Zusammenarbeit mit der Datenschutzbehörde ein neues Verfahren einführen.

Die jetzige Entscheidung ist bereits das zweite Bußgeld in Millionenhöhe wegen Verstößen gegen die DSGVO, die deutsche Aufsichtsbehörden innerhalb weniger Wochen verhängten. Im November hatte die Berliner Datenschutzbeauftragte Maja Smoltczyk entschieden, die Wohnungsgesellschaft Deutsche Wohnen mit knapp 15 Millionen Euro zu sanktionieren. Der Immobilienkonzern hatte wichtige Daten von Mietern wie beispielsweise Einkommensnachweise und Kontoauszüge über Jahre hinweg gespeichert, obwohl dazu keine Notwendigkeit bestand. Das Archivsystem des Unternehmens hatte keine Option zur Löschung von Daten vorgesehen, die nicht mehr benötigt wurden. Die Deutsche Wohnen hat bereits mitgeteilt, den Bescheid nicht anzuerkennen.

Auch im Falle von 1&1 hat das Unternehmen heute angekündigt, gegen die Entscheidung des Bundesdatenschutzbeauftragten vorzugehen. Der mit dem „absolut unverhältnismäßigen“ Bußgeldbescheid bestrafte Vorgang sei ein Einzelfall aus dem vergangenen Jahr gewesen. Dabei sei es um die Abfrage der Handynummer eines ehemaligen Lebenspartners gegangen. Die zuständige Mitarbeiterin habe alle Anforderungen der damals bei 1&1 gültigen „Zwei-Faktor-Authentifizierung“ eingehalten. Die Datenschutzbeauftrage von 1&1, Julia Zirfas, sagte, die Mitte Oktober eingeführte neue Bußgeldlogik der hiesigen Aufsichtsgremien verstoße „gegen das Grundgesetz“. Diese orientiere sich am jährlichen Konzern-Umsatz, wodurch bereits kleinste Abweichungen „riesige Geldbußen zur Folge haben“ könnten.

Rapidata kommt glimpflich davon

Ein weiteres Verfahren mit einer allerdings weit geringeren Strafe hat Kleiber zudem gegen den Telekommunikationsanbieter Rapidata eingeleitet. Das Unternehmen sei seiner Pflicht nach Artikel 37 DSGVO trotz mehrfacher Aufforderung nicht nachgekommen, einen betrieblichen Datenschutzbeauftragten zu benennen. Bei der Geldbuße in Höhe von 10.000 habe die Behörde jedoch berücksichtigt, dass es sich um einen Dienstleister aus der Kategorie der Kleinstunternehmen handelt.