Wegen Datenschutzverstoß: Rekord-Bußgeld gegen 1&1 verhängt

Mit einem aktuellen Bußgeld-Bescheid an den Telekommunikationsriesen 1&1 wird klar: Die Schonzeit bei Datenschutzverstößen ist endgültig vorbei.

Diese Meldung verbreitete sich bei Unternehmen wie ein Lauffeuer: Ulrich Kerber, seines Zeichens Deutschlands oberster Datenschützer, verhängte gegen den Telekommunikationsgiganten 1&1 ein Bußgeld knapp unter zehn Millionen Euro, das bislang höchste verhängte Bußgeld gegen ein Unternehmen für einen Verstoß gegen die DSGVO. Der Anlass: unzureichender Schutz der personenbezogenen Daten von Millionen 1&1-Kunden. Denn – so der Vorwurf – ein Anrufer brauchte bei der Kundenbetreuung des Unternehmens lediglich einen Namen und ein passendes Geburtsdatum angeben und konnte sich so schon nach dieser einfachen Authentifizierung Einblick in die Kundenstammdaten verschaffen, die bei 1&1 in der Kundenakte verzeichnet waren.

Auffällig wurde die Sicherheitslücke durch eine engagierte Exfrau. Die hatte sich über den Namen und das Geburtsdatum ihres Ex-Partners Zugang zu dessen gespeicherten Daten verschafft, um aus diesen wichtige Informationen für ihr juristisches Vorgehen gegen den Ex-Mann zu ziehen. Ein solcher Schutz brisanter Kundendaten genügt bei weitem nicht den Anforderungen der DSGVO zum Schutz von Kundendaten. Zu diesem Ergebnis kam Deutschlands höchster Datenschützer Ulrich Kerber bei seiner Betrachtung des Falls. 1&1 zeigte sich offensichtlich insgesamt einsichtig, denn es wurde in kurzer Zeit ein deutlich sichereres Identifizierungsverfahren eingeführt. Allerdings hält man seitens 1&1 die Höhe der Strafe für unangemessen, daher wird der Konzern gegen den Bußgeldbescheid auch Rechtsmittel einlegen. Dieser Auffassung folgt der Bundesdatenschutzbeauftragte nicht, vielmehr wies er daraufhin, dass die Strafe auch deutlich höher hätte ausfallen können, da ja alle Kunden des Unternehmens prinzipiell von der Datenunsicherheit betroffen waren. Bei 1&1 hingegen beruft man sich bei der Anfechtung auf die Behauptung, die Bußgeldregelung der DSGVO verstoße gegen das Grundgesetz. Die Hauptargumentation von 1&1 für den Grundgesetzverstoß: Hier seien die Grundsätze sowohl der Gleichbehandlung wie auch der Verhältnismäßigkeit in keiner Weise mehr gewahrt.

Datenschützer und Unternehmen blicken nun gespannt auf den weiteren Verlauf des Falls. Schon jetzt stellt die Bundesdatenschutzbehörde in Aussicht, dass 1&1 sicher nicht der letzte Telekommunikationskonzern ist, dem beim Kundenservice und dem dortigen Umgang mit personenbezogenen Daten genau auf die Finger geschaut wird. Dadurch können sich durchaus auch kleinere Player angesprochen fühlen: Denn vor allem in der Kundenbetreuung wird oftmals die Geschwindigkeit der Prozesse höher eingeschätzt, als wasserdichte Datensicherheit.

Ratsam ist für Hotlines in der Kundenbetreuung in jedem Fall eine mehrstufige Authentifizierung – mindestens eine Zweifaktor-Methode ist angeraten. Eine solche Methode arbeitet mit zwei unterschiedlichen und völlig voneinander getrennten Verifizierungskomponenten, wie beispielsweise Rückfragen zu Details des Vertrags, die nur der Vertragspartner kennen kann. Oder durch einen Rückruf, dann aber nicht ohne eine Überprüfung der Telefonnummer, die der Anrufer angibt. Diese Mindestanforderungen sollten alle Unternehmen so schnell wie möglich umsetzen, um ihre Kundendaten wirksam gegen unbefugten Zugriff zu schützen.