default logo


Datenschutzverstoß bei 1&1 wegen mangelnder Authentifizierung

Landgericht Bonn bestätigt Ansicht des Bundesdatenschutzbeauftragten

 

Bereits im November 2019 verhängte der Bundesdatenschutzbeauftragte gegen das Unternehmen 1 & 1 Telecom GmbH ein Bußgeld in Höhe von 9,55 Millionen €.

Grund hierfür war, dass es einer Frau gelang, an die neue Telefonnummer ihres Ex-Freundes und gleichzeitig Kunden von 1&1 zu gelangen, indem sie beim Callcenter anrief, sich dort als die Ehefrau des Kunden ausgab und nur durch Nennung von Name und Geburtsdatum des Kunden die entsprechende Auskunft erlangt hat.

Der Bundesdatenschutzbeauftragte sah hierin einen grob fahrlässigen Verstoß gegen  Art. 32 Abs. 1 DSGVO, welcher vorschreibt, dass Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Verarbeitung personenbezogener Daten systematisch zu schützen.

Hierzu gehört auch ein hinreichend sicheres Authentifizierungsverfahren, welches nach Auffassung des Bundesdatenschutzbeauftragten vorliegend nur durch die Abfrage von Name und Geburtsdatum nicht ausreichend gegeben ist.

Das Unternehmen räumte den Datenschutzverstoß zwar grundsätzlich ein, stellte ihn aber als Einzelfall und gerade nicht als ein systematisches Problem dar.

Zudem sei die verhängte Geldbuße in Höhe von 9,55 Millionen € unverhältnismäßig hoch.

Das Landgericht Bonn gab dem Unternehmen insoweit recht, als dass es die Geldbuße auf 900.000 € herabsetzte.

Dennoch handelt es sich nach Auffassung des Gerichtes vorliegend um einen signifikanten Datenschutzverstoß, da es Anrufern mit etwas taktischem Geschick und Vorgabe einer Berechtigung ein Leichtes war, an weitere Kundendaten wie eben die aktuelle Telefonnummer zu gelangen.

Zu berücksichtigen war aber auch, dass sensible Daten wie Einzelverbindungsnachweise oder Kontoverbindungen auf diesem Wege nicht abgefragt hätten werden können, da diese  generell nicht telefonisch herausgegeben werden.

Zudem wurde das Authentifizierungsverfahren bei dem betreffenden Unternehmen schon über mehrere Jahre hinweg beanstandungsfrei auf diese Weise durchgeführt, wobei den Verantwortlichen auch nicht klar gewesen ist, dass dies ein nicht angemessenes Schutzniveau darstellt.

Diese Aspekte führten letztlich dazu, dass das Bußgeld deutlich herabgesetzt wurde.

Nichtsdestotrotz handelt es sich hierbei um einen durchaus vermeidbaren Datenschutzverstoß der aber zu signifikanten Sanktionen führen kann.

 

Unser Praxistipp:

Generell sollten telefonische Auskünfte zu personenbezogenen Daten vermieden werden.  Sicherer und deshalb vorzuziehen ist das Verlangen einer schriftlichen Anfrage unter Vorlage einer Kopie des Personalausweises.

Sofern Sie aber dennoch entsprechende Authentifizierungsverfahren im Rahmen von Telefonanrufen durchführen, überlegen Sie sich vorab, welche besonderen individuellen Angaben Sie von dem Anrufer abfragen können, die nur der Anrufer selbst wissen kann oder bei denen zumindest die Möglichkeit, dass auch ein Dritter diese Daten kennt, geringer ist als bei solch offensichtlichen Angaben wie dem Namen oder dem Geburtsdatum.

In Betracht kommt hier beispielsweise die Abfrage einer Vertragsnummer, eines zuvor vereinbarten Passwortes oder eines sonstigen vorab vereinbarten Identifizierungsmerkmals.

Bei Rückfragen hierzu stehen wir gerne zur Verfügung.