Der Bundesdatenschutzbeauftragte (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – BfDI) hat den Telekommunikationsdienstleister 1&1 Telekom GmbH mit einem Bußgeld in Höhe von 9.550.000 EURO belegt.
Der folgende Text zeigt auch Verteidigungsansätze auf.
Zur Begründung führt der für den Datenschutz in der Telekommunikation zuständige BfDI aus:
Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.
Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.
1&1 akzeptiert den Bußgeldbescheid nicht [abgerufen zuletzt am 10.12.2019]. Die „2-Faktor-Authentifizierung“ (Angabe des Namens und des Geburtsdatums) sei marktüblich und das Bußgeld sei „absolut unverhältnismäßig“. 1&1 greift in ihrer Stellungnahme die Richtigkeit der Bußgeldregelung für Verstöße gegen den Datenschutz insgesamt an:
Die neue Bußgeldregelung, nach der die Summe berechnet wurde und die für die gesamte deutsche Wirtschaft gilt, wurde am 14. Oktober 2019 veröffentlicht und orientiert sich am jährlichen Konzern-Umsatz. So können bereits kleinste Abweichungen riesige Geldbußen zur Folge haben. In der Datenschutz-Grundverordnung (DSGVO) ist der Umsatz allerdings nicht als Kriterium für die Bemessung der Bußgeldhöhe vorgesehen. Darüber hinaus verstößt die neue Bußgeldlogik gegen das Grundgesetz, insbesondere die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit.
Grundlage für die Bemessung der Höhe des Bußgelds ist die am 14. Oktober 2019 von der Datenschutzkonferenz (DSK), dem Gremium der Datenschutzaufsichtsbehörden Deutschlands, veröffentlichte Bußgeldregelung. 1&1 greift in ihrer Stellungnahme erkennbar den Bescheid wegen des umstrittenen Unternehmensbegriffs aus Art. 83 Abs. 4 bis 6 DSGVO an, der die Bedingungen für die Verhängung von Bußgeldern normiert. Auf einen Beitrag hierzu wird hingewiesen. Die Verteidigung der 1&1 setzt außerdem erkennbar bei der starren Umsatzbezogenheit des Bußgeldkonzepts der DSK an. Eine fallbezogene Konkretisierung der Berechnung wie im Kartellrecht enthält die Berechnungsmethode der DSK nicht. Im Kartellrecht legen die Behörden nicht den gesamten Konzernumsatz ihrer Berechnung von Strafzahlungen zugrunde, sondern den „befangenen Umsatz“. Das ist der Umsatz derjenigen Produkte, deren Absatz durch die Kartellrechtsverletzung gesteigert wurde. Was sich im Kartellrecht feststellen lässt (so betrifft z.B. die kartellrechtlich verbotene Preisabsprache für den Einkauf bestimmter Vorprodukte in der Automobilindustrie eben nur diese Vorprodukte – und der Umsatz dieser befangenen Produkte lässt sich identifizieren), wird sich allerdings nicht stets auf das Datenschutzrecht übertragen lassen. Denn auch wenn sich wirtschaftliche Modelle denken lassen, die von Datenschutzrechtsverletzungen profitieren, geht es im Datenschutzrecht um den Schutz der Privatsphäre und nicht zwingend um umsatzbezogene Vorgänge. Das wiederum bedeutet nicht, dass es bei der starren Heranziehung des Konzernumsatzes als Bemessungsgröße bleiben muss. Die Umsatzbezogenheit der Bußgeldberechnung bei Verstößen gegen die DSGVO lässt sich sicherlich auch auf andere Weise korrigieren – etwa durch Beschränkung auf den Umsatz der Unternehmensteile, die die Datenschutzverletzung betrifft oder auf die sie sich auswirkt. Die Berechnungsmethode muss sich allerdings in den Grenzen des Art 83 DSGVO bewegen. Das Bußgeld muss wirksam, verhältnismäßig und abschreckend sein.
Gemäß Art 32 Abs. (1) DSGVO sind datenverarbeitende Stellen verpflichtet, technische und organisatorische Maßnahmen zu treffen, um ein – dem Risiko für die Rechte und Freiheiten natürlicher Personen – angemessenes Schutzniveau zu gewährleisten. Dieser Verpflichtung hat nach Auffassung des BfDI der Telekommunikationsdiensteanbieter nicht genügt, da es einer Unbefugten möglich war, telefonisch sich mit der Angabe lediglich zweier Datensätze – Name und Geburtsdatum – gegenüber 1&1 als vermeintliche Kundin zu legitimieren und weitere den tatsächlichen Kunden betreffende Informationen zu erhalten. Name und Geburtsdatum einer natürlichen Person sind in aller Regel keine vertraulichen Daten, die sich zur Legitimierung eignen. 1&1 reagierte schnell und passt ihre organisatorischen Maßnahmen an:
So wurde beispielsweise zwischenzeitlich eine dreistufige Authentifizierung eingeführt und in den nächsten Tagen wird 1&1 – als eines der ersten Unternehmen seiner Branche – jedem Kunden eine persönliche Service-PIN bereitstellen.
Ein Rechtsstreit der 1&1 könnte zur Klärung des umstrittenen Unternehmensbegriffs in Art 83 DSGVO beitragen und zur Nagelprobe für die Berechnungsmethode der DSK werden.
Datenschutz | Bußgelder