Aktuelle Geldbußen gegen Telekommunikationsdienstleister

von (Kommentare: 0)

Der Bundesbeauftragte für Datenschutz und die Informationsfreiheit (BfDI) hat die 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 EUR belegt. Das Unternehmen hatte nicht ausreichend dafür Sorge getragen, dass die Kundendaten nicht an Dritte weitergegeben werden. Alleine schon die Angabe des Namens und des Geburtsdatums reichten aus, um weitere Kundendaten zu erhalten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, der den Schutz der personenbezogenen Daten durch ausreichende technische und organisatorische Maßnahmen (TOM) vorsieht.

Dazu sagte der Bundesbeauftragte Ulrich Kelber: „Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.“

Bußgeld aufgrund unzureichendem Authentifizierungsverfahren

Der Pressemitteilung ist weiterhin zu entnehmen, dass der BfDI aufgrund des kooperativen Verhaltens der 1&1 Telecom GmbH „im unteren Bereich des möglichen Bußgeldrahmens blieb“. Außerdem wird nun ein deutlich verbessertes Authentifizierungsverfahren in Absprache mit dem BfDI eingeführt. Wir sind gespannt, wie dieses deutlich verbesserte Authentifizierungsverfahren aussehen wird: Als Kunde möchte man bei einem Anruf im Kundencenter Unterstützung erhalten und dies sollte nicht erheblich durch ein Authentifizierungsverfahren erschwert werden. Natürlich sind Geburtsdatum und Name nicht ausreichend sicher, auch die Straße und Hausnummer machen die Authentifizierung nicht wirklich sicherer. Eine Möglichkeit, die auch schon von anderen Telekommunikationsanbietern genutzt wird, wäre ein vorher durch den Kunden festgelegtes Kennwort zu nutzen. Anhand dieses, bei Vertragsabschluss erstellten Kennworts, könnte eine Auskunft an einen Dritten weniger wahrscheinlich werden. Wir sind gespannt wie es hier weitergeht und welches Verfahren der BfDI als ausreichend erachtet.

Authentifizierungsverfahren im Unternehmen überprüfen

Für Unternehmen bedeutet die Geldbuße aber ein deutliches Signal zur Prüfung des Authentifizierungsverfahrens im eigenen Haus. Hiervon sind nicht nur Telekommunikationsanbieter betroffen: Alle Unternehmen, die mit Kundendaten arbeiten und die diese zur Beauftragung von Terminen oder Beauskunftung von Vertragsdaten nutzen, müssen ihre Prozesse überdenken. Aber nicht nur hier besteht Handlungsbedarf: Haben Sie sich schon Gedanken gemacht, wie Sie die Identität einer Person feststellen, die die Herausgabe Ihrer Daten fordert? Jede Person hat nach Art. 15 DSGVO „[…] das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.“ Sollten diese Informationen einer anderen Person, als der betroffenen Person, herausgegeben werden, liegt in der Regel ein Datenschutzverstoß vor. Daher sollten alle Unternehmen auf diese Anfrage vorbereitet sein und ein ausreichendes Authentifizierungsverfahren eingeführt haben, sonst könnte hier ebenso ein Bußgeld drohen.

1&1 Telecom GmbH klagt gegen Bußgeldbescheid

Die 1&1 Telecom GmbH hat kurz nach der Pressemitteilung des BfDI eine eigene Stellungnahme veröffentlicht. Das „Bußgeld ist unverhältnismäßig und verstößt gegen das Grundgesetz“. Wir sind gespannt, wie es in diesem Fall weitergeht. Gerade die Frage „Was ist Stand der Technik“ eröffnet hier durchaus Möglichkeiten.

Fehlender DSB führt zu Bußgeld

Am Ende der Pressemitteilung geht eine Meldung fast unter: „Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.“

Das lässt sich durchaus so lesen, dass eine fehlende Bestellung eines Datenschutzbeauftragten einen Preis erhalten hat: Auch wenn hier von mehrmaliger Aufforderung die Rede ist, wurde mit 10.000 EUR eine Bußgeldhöhe gesetzt, die eher über den Kosten der Bestellung eines DSB in einem Kleinstunternehmen liegt. Ein externer Datenschutzbeauftragter kann häufig mit weniger Kosten Unternehmen in dieser Größenordnung so weit bringen, dass sie DSGVO konform aufgestellt sind.

Benötigen Sie Unterstützung bei der Überprüfung der technisch-organisatorischen Maßnahmen? Wissen Sie, ob die Bestellung eines Datenschutzbeauftragten bei Ihnen notwendig ist? Wir unterstützen Sie gerne! Unter 06227 7893930 oder unserer Webseite erreichen Sie das Team der dacuro, welches Ihnen gerne Antworten auf Ihre Fragen liefert!

Quelle: Pressemitteilungen Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Zurück

Einen Kommentar schreiben

Bitte addieren Sie 6 und 9.

Für die korrekte Darstellung der Webseite auf Ihrem Computer arbeiten wir mit sogenannten Cookies. Diese Speichern Informationen auf Ihrem Gerät. Außerdem speichern wir auch Information über Ihren Besuch in solchen Cookies. Detaillierte Informationen über den Einsatz von Cookies auf unserer Webseite erhalten Sie in der Datenschutzerklärung. Die rechtlichen Angaben und Kontaktinformationen der dacuro GmbH finden Sie im Impressum.

Technisch notwendige Cookies

Dies sind Informationen, die wesentliche technische Funktionen ermöglichen, so wie das Ausfüllen von Formularen oder Spracheinstellungen. Diese Cookies sind notwendig, um die Seite anzeigen und diese korrekt nutzen zu können.

Mit der Bestätigung stimmen Sie diesem Vorgang zu.

Maps & YouTube

Mit Aktivierung des Buttons haben Sie Zugriff auf Google Maps und von uns bereitgestellte YouTube-Videos. Hierfür werden Ihre Daten an Google Ireland Limited („Google“) weitergeleitet, wodurch unter Umständen eine Verabeitung Ihrer Daten in den USA erfolgt, da hier der Hauptsitz des Unternehmens ist.

Sie können sich auch nachträglich dazu entschließen, die Anwendungen zuzulassen.

Analyse

Dies sind Informationen, die Daten über Ihre Webseiten-Nutzung sammeln, damit wir diese verbessern können. Hierfür verwenden wir Google Analytics mit Einbindung der IP-Anonymisierung von Google Ireland Limited („Google“), deren Hauptsitz in den USA ist. Wir können daraus keine Rückschlüsse über Ihren Namen oder Ihre Kontaktdaten ziehen.

Sie können diese Cookies in der Datenschutzerklärung wieder ausschalten, wenn Sie sie jetzt zulassen.