Aktuelle Geldbußen gegen Telekommunikationsdienstleister

von Thomas Stegemann (Kommentare: 0)

Der Bundesbeauftragte für Datenschutz und die Informationsfreiheit (BfDI) hat die 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 EUR belegt. Das Unternehmen hatte nicht ausreichend dafür Sorge getragen, dass die Kundendaten nicht an Dritte weitergegeben werden. Alleine schon die Angabe des Namens und des Geburtsdatums reichten aus, um weitere Kundendaten zu erhalten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, der den Schutz der personenbezogenen Daten durch ausreichende technische und organisatorische Maßnahmen (TOM) vorsieht.

Dazu sagte der Bundesbeauftragte Ulrich Kelber: „Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.“

Bußgeld aufgrund unzureichendem Authentifizierungsverfahren

Der Pressemitteilung ist weiterhin zu entnehmen, dass der BfDI aufgrund des kooperativen Verhaltens der 1&1 Telecom GmbH „im unteren Bereich des möglichen Bußgeldrahmens blieb“. Außerdem wird nun ein deutlich verbessertes Authentifizierungsverfahren in Absprache mit dem BfDI eingeführt. Wir sind gespannt, wie dieses deutlich verbesserte Authentifizierungsverfahren aussehen wird: Als Kunde möchte man bei einem Anruf im Kundencenter Unterstützung erhalten und dies sollte nicht erheblich durch ein Authentifizierungsverfahren erschwert werden. Natürlich sind Geburtsdatum und Name nicht ausreichend sicher, auch die Straße und Hausnummer machen die Authentifizierung nicht wirklich sicherer. Eine Möglichkeit, die auch schon von anderen Telekommunikationsanbietern genutzt wird, wäre ein vorher durch den Kunden festgelegtes Kennwort zu nutzen. Anhand dieses, bei Vertragsabschluss erstellten Kennworts, könnte eine Auskunft an einen Dritten weniger wahrscheinlich werden. Wir sind gespannt wie es hier weitergeht und welches Verfahren der BfDI als ausreichend erachtet.

Authentifizierungsverfahren im Unternehmen überprüfen

Für Unternehmen bedeutet die Geldbuße aber ein deutliches Signal zur Prüfung des Authentifizierungsverfahrens im eigenen Haus. Hiervon sind nicht nur Telekommunikationsanbieter betroffen: Alle Unternehmen, die mit Kundendaten arbeiten und die diese zur Beauftragung von Terminen oder Beauskunftung von Vertragsdaten nutzen, müssen ihre Prozesse überdenken. Aber nicht nur hier besteht Handlungsbedarf: Haben Sie sich schon Gedanken gemacht, wie Sie die Identität einer Person feststellen, die die Herausgabe Ihrer Daten fordert? Jede Person hat nach Art. 15 DSGVO „[…] das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.“ Sollten diese Informationen einer anderen Person, als der betroffenen Person, herausgegeben werden, liegt in der Regel ein Datenschutzverstoß vor. Daher sollten alle Unternehmen auf diese Anfrage vorbereitet sein und ein ausreichendes Authentifizierungsverfahren eingeführt haben, sonst könnte hier ebenso ein Bußgeld drohen.

1&1 Telecom GmbH klagt gegen Bußgeldbescheid

Die 1&1 Telecom GmbH hat kurz nach der Pressemitteilung des BfDI eine eigene Stellungnahme veröffentlicht. Das „Bußgeld ist unverhältnismäßig und verstößt gegen das Grundgesetz“. Wir sind gespannt, wie es in diesem Fall weitergeht. Gerade die Frage „Was ist Stand der Technik“ eröffnet hier durchaus Möglichkeiten.

Fehlender DSB führt zu Bußgeld

Am Ende der Pressemitteilung geht eine Meldung fast unter: „Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.“

Das lässt sich durchaus so lesen, dass eine fehlende Bestellung eines Datenschutzbeauftragten einen Preis erhalten hat: Auch wenn hier von mehrmaliger Aufforderung die Rede ist, wurde mit 10.000 EUR eine Bußgeldhöhe gesetzt, die eher über den Kosten der Bestellung eines DSB in einem Kleinstunternehmen liegt. Ein externer Datenschutzbeauftragter kann häufig mit weniger Kosten Unternehmen in dieser Größenordnung so weit bringen, dass sie DSGVO konform aufgestellt sind.

Benötigen Sie Unterstützung bei der Überprüfung der technisch-organisatorischen Maßnahmen? Wissen Sie, ob die Bestellung eines Datenschutzbeauftragten bei Ihnen notwendig ist? Wir unterstützen Sie gerne! Unter 06227 7893930 oder unserer Webseite erreichen Sie das Team der dacuro, welches Ihnen gerne Antworten auf Ihre Fragen liefert!

Quelle: Pressemitteilungen Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

TAGS

Zurück

Einen Kommentar schreiben

Was ist die Summe aus 8 und 7?

Updates Anmeldung zum Newsletter

Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.