9,5 Mio. Euro Strafe für 1&1

Der Bundesbeauftragte für den Datenschutz hat im September 2019 gegen den Telefon- und Internetanbieter 1&1 eine Geldbuße in Höhe von 9,55 Millionen Euro verhängt. Der BfDI wirft dem Unternehmen vor, Kundendaten nicht ausreichend geschützt zu haben. Unbefugte konnten bei telefonischen Auskünften Informationen zu Kunden abfragen. Dazu hätten Name und Geburtsdatum des Kunden ausgereicht.

1&1 schrieb dazu: „Der fragliche Fall ereignete sich bereits 2018. Konkret ging es um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners. Die zuständige Mitarbeiterin erfüllte dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien. Zu diesem Zeitpunkt war eine Zwei-Faktor-Authentifizierung üblich, einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen gab es nicht“.

Trotz erkennbarer erhöhter Sicherheitsmaßnahmen von 1&1 IONOS SE und Anerkennung des Bundesbeauftragten sei dies nicht ausschlaggebend für die Strafe: „Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar.“, hieß es in der Meldung.

Die 1&1 Telecom GmbH hatte angekündigt, gegen diese Geldbuße zu klagen: „Das Bußgeld ist unverhältnismäßig. Die neue Bußgeldregelung, nach der die Summe berechnet wurde und die für die gesamte deutsche Wirtschaft gilt, wurde am 14. Oktober 2019 veröffentlicht und orientiert sich am jährlichen Konzernumsatz. So können bereits kleinste Abweichungen riesige Geldbußen zur Folge haben. In der DSGVO ist der Umsatz allerdings nicht als Kriterium für die Bemessung der Bußgeldhöhe vorgesehen. Darüber hinaus verstößt die neue Bußgeldlogik gegen das Grundgesetz, insbesondere die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit“.