Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber verhängte gegen die 1&1 Telecom GmbH ein Bußgeld in Höhe von 9,55 Millionen Euro. Grund hierfür sei die Nichteinhaltung von Maßnahmen, die dem Schutz von personenbezogenen Daten dienen. Bei der Authentifizierung von Kunden bei einer telefonischen Betreuung sollen unzureichende Vorkehrungen getroffen worden sein, welche nicht ausreichend waren, um den Schutz der personenbezogenen Daten zu gewährleisten.
Unbefugte konnten so unschwer erreichen, Daten von Dritten abzufragen. Lediglich das Angeben von Namen und Geburtsdatum hätte ausgereicht, um weitere Informationen zu erhalten.
Auf ihrer Homepage erklärt die 1&1 Telecom GmbH, dass sie das Bußgeld als unverhältnismäßig erachte und als Verstoß gegen das Grundgesetz ansehe. Sie wolle gegen den Bußgeldbescheid klagen. 1&1 erklärte, dass sie seit dem fraglichen Vorfall aus 2018 stetig ihre Sicherheitsanforderungen weiterentwickelt hat und Datensicherheit oberste Priorität habe. Es soll jedoch nicht nur gegen den Bescheid an sich vorgegangen werden, sondern auch gegen die Berechnungsgrundlagen der DSGVO-Bußgelder selbst.
Ulrich Kelber erklärte, dass Datenschutz Grundrechtsschutz sei und die ausgesprochenen Geldbußen ein klares Zeichen dafür seien, dass dieser Grundrechtsschutz durchgesetzt werde. Dass es womöglich zu keiner Ausspähung kam, sei unbeachtlich. Aufgrund der Kooperationsbereitschaft liege das Bußgeld jedoch laut Ulrich Kelber im unteren Bereich. Da ein erhebliches Risiko für die Kundendaten bestanden habe, sei ein niedrigeres Bußgeld jedoch nicht in Frage gekommen.
In Zukunft sollen nun auch weitere Telekommunikationsdienste auf ihre Authentifizierungsverfahren überprüft werden.
Es gibt grundsätzlich unterschiedliche Möglichkeiten, die Authentifizierung von Kunden am Telefon so zu handhaben, dass ein Missbrauch zumindest weitgehend ausgeschlossen werden kann. Es kann beispielsweise eine Abfrage der Vertragsnummer erfolgen oder einige Zahlen aus der IBAN des Kunden, welche zumeist bei dem Unternehmen hinterlegt ist. Auch die Abfrage der E-Mail-Adresse kommt in Frage. Eine weitere Möglichkeit wäre es, den Kunden eine Art PIN oder Code zuzuteilen, welcher bei jeglicher telefonischen Betreuung genannt werden muss. Ob dies jedoch nachträglich umsetzbar ist, bleibt abzuwarten.
