Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) hat den Tele­kom­mu­ni­ka­ti­ons­dienst­lei­ster 1&1 Telecom GmbH mit einer Geld­bu­ße in Höhe von 9.550.000 Euro belegt.

Das Unter­neh­men hat­te kei­ne hin­rei­chen­den tech­nisch-orga­ni­sa­to­ri­schen Maß­nah­men ergrif­fen, um zu ver­hin­dern, dass Unbe­rech­tig­te bei der tele­fo­ni­schen Kun­den­be­treu­ung Aus­künf­te zu Kun­den­da­ten erhal­ten kön­nen. In einem wei­te­ren Fall sprach der BfDI ein Buß­geld in Höhe von 10.000 Euro gegen die Rapi­da­ta GmbH aus. 

Dazu sag­te der Bun­des­be­auf­trag­te Ulrich Kel­ber: Daten­schutz ist Grund­rechts­schutz. Die aus­ge­spro­che­nen Geld­bu­ßen sind ein kla­res Zei­chen, dass wir die­sen Grund­rechts­schutz durch­set­zen wer­den. Die euro­päi­sche Daten­schutz­grund­ver­ord­nung (DSGVO) gibt uns die Mög­lich­keit, die unzu­rei­chen­de Siche­rung von per­so­nen­be­zo­ge­nen Daten ent­schei­dend zu ahn­den. Wir wen­den die­se Befug­nis­se unter Berück­sich­ti­gung der gebo­te­nen Ange­mes­sen­heit an.

Im Fall von 1&1 Telecom GmbH hat­te der BfDI Kennt­nis erlangt, dass Anru­fer bei der Kun­den­be­treu­ung des Unter­neh­mens allein schon durch Anga­be des Namens und Geburts­da­tums eines Kun­den weit­rei­chen­de Infor­ma­tio­nen zu wei­te­ren per­so­nen­be­zo­ge­nen Kun­den­da­ten erhal­ten konn­ten. In die­sem Authen­ti­fi­zie­rungs­ver­fah­ren sieht der BfDI einen Ver­stoß gegen Arti­kel 32 DSGVO, nach dem das Unter­neh­men ver­pflich­tet ist, geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu ergrei­fen, um die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten syste­ma­tisch zu schüt­zen. 

Nach­dem der BfDI den unzu­rei­chen­den Daten­schutz bemän­gelt hat­te, zeig­te sich 1&1 Telecom GmbH ein­sich­tig und äußerst koope­ra­tiv. In einem ersten Schritt wur­de zunächst der Authen­ti­fi­zie­rungs­pro­zess durch die Abfra­ge zusätz­li­cher Anga­ben stär­ker abge­si­chert. In einem wei­te­ren Schritt wird bei der 1&1 Telecom GmbH der­zeit und nach Abspra­che mit dem BfDI ein neu­es, tech­nisch und daten­schutz­recht­lich deut­lich ver­bes­ser­tes Authen­ti­fi­zie­rungs­ver­fah­ren ein­ge­führt. 

Unge­ach­tet die­ser Maß­nah­men war die Ver­hän­gung einer Geld­bu­ße gebo­ten. So war unter ande­rem der Ver­stoß nicht nur auf einen gerin­gen Teil der Kun­den begrenzt, son­dern stell­te ein Risi­ko für den gesam­ten Kun­den­be­stand dar. Bei der Fest­set­zung der Höhe der Geld­bu­ße blieb der BfDI auf­grund des wäh­rend des gesam­ten Ver­fah­rens koope­ra­ti­ven Ver­hal­tens von 1&1 Telecom GmbH im unte­ren Bereich des mög­li­chen Buß­geld­rah­mens. 

Der BfDI unter­sucht auf­grund von eige­nen Erkennt­nis­sen, Hin­wei­sen und auch Kun­den­be­schwer­den zudem der­zeit die Authen­ti­fi­zie­rungs­pro­zes­se wei­te­rer Anbie­ter von Tele­kom­mu­ni­ka­ti­ons­dienst­lei­stun­gen. 

Ein wei­te­res Ver­fah­ren gegen den Tele­kom­mu­ni­ka­ti­ons­an­bie­ter Rapi­da­ta GmbH wur­de erfor­der­lich, da das Unter­neh­men sei­ner gesetz­li­chen Auf­la­ge nach Arti­kel 37 DSGVO zur Benen­nung des betrieb­li­chen Daten­schutz­be­auf­trag­ten trotz mehr­ma­li­ger Auf­for­de­rung nicht nach­ge­kom­men ist. Bei der Höhe der Geld­bu­ße von 10.000 Euro wur­de berück­sich­tigt, dass es sich hier­bei um ein Unter­neh­men aus der Kate­go­rie der Kleinst­un­ter­neh­men han­delt.