DSGVO-Bußgeld in Millionenhöhe wegen ausgeplauderter Kundendaten

Der Bundesdatenschutzbeauftragte hat ein Millionenbußgeld gegen das Telekommunikationsunternehmen 1&1 verhängt. Knapp 10 Millionen soll der Konzern zahlen, weil Mitarbeiter an der telefonischen Hotline personenbezogene Daten von Kunden an Anrufer weitergegeben hatten, ohne deren Identität ausreichend zu überprüfen. Das Unternehmen hält die Höhe des Bußgelds für völlig unangemessen und will dagegen klagen.

Zu den wesentlichen Merkmalen der Datenschutzgrundverordnung gehört der deutlich erhöhte Strafrahmen bei Verstößen. Vor allem große Konzerne sollen sich nicht mehr durch Zahlungen ""aus der Portokasse"' freikaufen können, wenn ihnen Datenschutzvergehen nachgewiesen werden konnten.

Deftige DSGVO-Sanktionen - die Einschläge kommen näher 

Dass es den Datenschutzbehörden damit Ernst ist, zeigen die nach und nach aufschlagenden Bußgelder an Konzerne (→ Rekordbußgeld nach DSGVO wegen zu Unrecht im Firmenarchiv verbliebener Daten).

Seit Mai letzten Jahre kann sich das maximal zu entrichtende Bußgeld auch nach der Höhe des letzten Jahresumsatzes orientieren und bis zu vier Prozent des weltweit erzielten Umsatzes betragen, was dann auch für Großkonzerne abschreckende Wirkung haben dürfte.

Deutsche Datenschutzbehörden verhängten bisher maßvolle Sanktionen

Hierzulande hielten sich die Datenschutzbehörden zunächst deutlich zurück und verhängten bislang meist eher moderate Bußgelder, wohl auch im Blick auf anfängliche Unsicherheiten und Umrüstungsprobleme der Unternehmen. Doch nun scheint die Schonfrist zu Ende zu gehen. Es zeichnet sich ein Strategiewechsel ab und so verhängte etwa die Berliner Datenschutzbehörde vor wenigen Wochen ein Bußgeld in Höhe von 14,5 Millionen gegen ein Immobilienunternehmen, das es trotz Ermahnungen mit Löschungen nicht genau nahm.

Auch der Bundesdatenschutzbeauftragte setzt ein Zeichen

Nachdem der Bundesdatenschutzbeauftragte schon vor einigen Monaten angekündigt hatte, dass Bußgelder im Millionenbereich künftig öfter zu erwarten seien, hat er nun auch selbst ein entsprechendes Zeichen gesetzt. So verhängte er vor kurzem ein Bußgeld von fast 10 Millionen Euro (9,55 Millionen) gegen den Telekommunikationskonzern 1&1 Telecom.

Teures Plaudern an der Hotline: keine geeigneten organisatorische Maßnahmen

Konkret wird dem Unternehmen vorgeworfen, dass Anrufern bei der Hotline weitreichende Informationen zu personenbezogenen Kundendaten mitgeteilt wurden. So hätten Anrufer lediglich Namen und Geburtsdatum einer Person angeben müssen, um etwa Daten zu deren Vertrag abfragen zu können.

Konkret hatte die Hotline nach Abfrage dieser Daten dem Anrufer eine Handy-Nummer mitgeteilt. Dieses Vorgehen wertete die Bundesbehörde als Verstoß gegen den Art. 32 DSGVO, der Unternehmen vorschreibt, geeignete technische und organisatorische Maßnahmen zu ergreifen, mit denen die Verarbeitung personenbezogener Daten systematisch geschützt werden kann.

Authentifizierungsvorgang durch Abfrage weiterer Daten sicherer gemacht

Nachdem die Behörde dem Unternehmen diesen Mangel mitgeteilt hatte, habe man sich dort einsichtig und kooperativ verhalten und als Sofortmaßnahme den Authentifizierungsvorgang durch die Abfrage weiterer Daten sicherer gemacht. Zudem hat man bei 1&1 auch grundsätzlich reagiert und ist derzeit dabei, allen Kunden eine spezielle Service-PIN zuzustellen, mit der sie sich künftig bei derartigen Anfragen legitimieren können.

Bußgeld-Höhe überrascht

Trotz der schnellen Reaktion und Kooperationsbereitschaft verhängte der Bundesdatenschutzbeauftragte nun das recht hohe Bußgeld und begründete dies in seiner Pressemitteilung  damit, dass es sich um einen Fehler gehandelt habe, der ein Risiko für den gesamten Kundenbestand dargestellt habe. Zudem wies er darauf hin, dass sich das Bußgeld gemessen an den Möglichkeiten des DSGVO-Sanktionskatalogs noch im unteren Bereich bewege.

Beim betroffenen Unternehmen sieht man die Sachlage jedoch völlig anders.

1&1 kritisiert Bußgeld als unverhältnismäßig 

In einer Stellungnahme  bezeichnet man den Bußgeldbescheid als absolut unverhältnismäßig und kündigt eine Klage an.

So weist 1&1 darauf hin, dass zum Zeitpunkt des Vorfalls keine stärkeren Authentifizierungsverfahren üblich gewesen seien.

Auch an dem grundsätzlichen Berechnungsverfahren für die Bußgelder, das die Datenschutzbehörden erst im Oktober veröffentlicht hatten (→ Datenschutzbehörden verabschieden einheitliches Bußgeldkonzept), übt die Datenschutzbeauftragte des Unternehmens, Dr. Julia Zierfass, heftige Kritik.

1&1-Datenschutzbeauftragte kritisiert fehlende Gleichbehandlung 

So könnten sich durch die Orientierung der Bußgelder am Konzernumsatz schon durch kleine Abweichungen riesige Geldbußen ergeben.  Diese neue Bußgeldlogik verstößt ihrer Meinung nach somit sogar gegen das Grundgesetz, insbesondere die hier verankerten Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit.

Weitere News zum Thema:

DSGVO-Sanktionen und Managementhaftung

Umsetzung des DSGVO-Vorgaben in hiesigen Unternehmen

Hintergrund: 5 Kriterien für die Höhe der DSGVO-Bußgelder

Die Unternehmensbußgelder werden nach dem neuen Konzept der Datenschutzbehörden anhand mehrerer Kriterien in einem fünfstufigen Prozess ermittelt:

  1. Zunächst wird das Unternehmen einer Größenklasse zugeordnet, wobei es vier verschiedene dieser Klassen (Kleinstunternehmen, kleine und mittlere Unternehmen sowie Großunternehmen) gibt.
  2. Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt.
  3. Anschließend wird ein wirtschaftlicher Grundwert ermittelt, der einer Art Tagessatz entspricht.
  4. Dieser Grundwert wird im vierten Schritt mit einem Faktor multipliziert, der die Schwere des Tatbestands wiederspiegelt. Die Faktoren reichen von 1-2 für leichte, formelle Verstöße (nach Art. 83 Abs. 4 DSGVO) bis zu 12 oder höher bei sehr schweren, materiellen Verstößen (nach Art. 83 Abs. 5, 6 DSGVO).
  5. Abschließend wird der so ermittelte Wert anhand weiterer täterbezogener oder sonst noch nicht berücksichtigter Umstände angepasst. Hiermit soll etwa verhindert werden, dass ein Unternehmen durch ein hohes Bußgeld zahlungsunfähig wird.

Weitere Details zu den Berechnungsvorgaben finden Sie im Konzept der Datenschutzbehörden.