Wegen eines Verstoßes gegen die Datenschutz-Grundverordnung muss der deutsche Telekommunikationsanbieter 1&1 900.000 Euro zahlen. Ursprünglich hatte BfDI Ulrich Kelber ein Bußgeld in zehnfacher Höhe verhängt. Zwar bestätigte das Landgericht Bonn grundsätzlich seine Entscheidung. Die Höhe des Bußgeldes sei aber für das eher geringe Verschulden nicht angemessen.
Geburtsdatum als Passwort
Der mangelhafte Datenschutz im Callcenter von 1&1 war durch einen Stalking-Fall ans Licht gekommen. Ein Kunde hatte belästigende Anrufe von seiner ehemaligen Lebenspartnerin erhalten. Seine neue Nummer hatte die Stalkerin ganz einfach bei seinem Telefonanbieter abfragen können: Nachdem sie sich fälschlicherweise als Ehefrau ausgegeben hatte, benötigte sie zur Authentifizierung nur noch das Geburtsdatum des Mannes. Bei der Untersuchung durch den Bundesdatenschutz-Beauftragten stellte sich heraus: Auch Monate nach Inkrafttreten der DSGVO mussten sich 1&1-Kunden im Callcenter nur mit Namen und Geburtsdatum legitimieren, um Zugriff auf bestimmte Daten zu bekommen.
Unternehmen klagte gegen Millionen-Strafe
Ulrich Kelber, der Bundesbeauftragte für Datenschutz und Informationsfreiheit (kurz: BfDI) sah in dieser Praxis einen grob fahrlässigen Verstoß gegen die DSGVO. Die nämlich verpflichtet Unternehmen zu sicheren Authentifizierungsmaßnahmen, um personenbezogene Daten systematisch zu schützen. Im Dezember 2019 verhängte der BfDI ein Bußgeld, das sich am Gesamtumsatz von 1&1 orientierte: 9,55 Millionen Euro. Das Unternehmen hatte sich bis dahin kooperativ gezeigt und seine Sicherungsmaßnahmen verbessert. Mit der Höhe des Bußgeldes allerdings wollte man sich nicht abfinden.
Schutzniveau für angemessen gehalten
Das Landgericht Bonn (Az. 29 OWi 1/20 LG) stimmte dem Bundesdatenschützer nun in wesentlichen Punkten zu: Das Callcenter habe kein sicheres Authentifizierungsverfahren zum Schutz der Kundendaten benutzt. Und: Gemäß europäischem Recht müsse das Unternehmen in diesem Fall haften, selbst wenn kein Verstoß einer Person aus der Leitungsebene nachweisbar sei. Allerdings habe auch der BfDI nur einen „geringen Datenschutzverstoß“ festgestellt. Schließlich könnten besonders sensible Daten gar nicht telefonisch bei den Beratern abgefragt werden: Einzelverbindungsnachweise, Verkehrsdaten oder Konto-Verbindungen beispielsweise. Das Gericht sprach im wesentliche von einem „mangelnden Problembewusstsein“ der Verantwortlichen im 1&1-Call-Center. Man habe ein jahrelang angewendetes Authentifizierungsverfahren einfach weiterverwendet, nachdem es zuvor nie beanstandet worden sei.
Fazit
In ihren ersten Stellungnahmen nach dem Urteil haben sich beide Seiten zufrieden gezeigt. Für den Bundesdatenschutz-Beauftragten zählt nach eigenen Angaben vor allem, dass das Gericht den-Verstoß bestätigt und das Unternehmen für haftungspflichtig erklärt hat. 1&1 betont erneut, dass das ursprünglich verhängte Bußgeld in keinem Verhältnis zu dem vorliegenden Fall stand.
Anzeige
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
