Die Einschläge kommen näher.
Der BfDI (der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) hat gestern in einer Pressemitteilung verkündet, ein Bußgeld über stattliche 9,55 Millionen Euro verhängt zu haben. Schuld ist ein – angeblicher – DSGVO-Verstoß. Getroffen hat es den Telekommunikationsdienstleister 1&1 Telecom GmbH. Das ist ein Tochterunternehmen der 1&1 Telecommunication SE, die wiederum zur United Internet Gruppe gehört.
Dem Unternehmen wird vorgeworfen keine hinreichenden technischen und organisatorischen Maßnahmen (TOMs) ergriffen zu haben, um Anrufer sicher zu authentifizieren.
Worin besteht der Vorwurf des BfDI?
Die 1&1 Telecom GmbH bietet eine telefonische Kundenbetreuung an. Dafür müssen sich die Kunden natürlich erst einmal authentifizieren. Bei 1&1 wurden die Kunden gebeten Namen und Geburtsdatum zur Authentifizierung anzugeben.
Der BfDI fand, dass diese Methode zu einfach zu knacken sei. Fremde könnten also bei Kenntnis dieser Infos Auskunft über die bei 1&1 gespeicherten Daten von Kunden bekommen. Konkret wird also ein Verstoß gegen Artikel 32 DSGVO angenommen.
Bei dem Bußgeld von 9,55 Millionen Euro handelt sich um das zweite Millionen-Bußgeld deutscher Aufsichtsbehörden, welches wohl unter Anwendung des erst kürzlich vorgestellten neuen Bußgeldkonzepts erlassen wurde.
Das Bußgeld sei geboten gewesen, so der BfDI, da die schwache Authentifizierungsmethode eine Gefahr für den gesamten Kundenbestand darstellte:
“So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar.”
BfDI: Bußgeld “im unteren Bereich des möglichen Bußgeldrahmens”
In der Pressemeldung wird dabei sogar gesagt, dass man aufgrund des kooperativen Verhaltens von 1&1 im unteren Bereich des Bußgeldrahmens geblieben sei:
“Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.”
Dazu sagte der Bundesbeauftragte Ulrich Kelber:
“Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.
1&1 wird gegen Bußgeld vorgehen
Die 1&1 Telecom GmbH hat gleich nach Veröffentlichung der Pressemeldung des BfDI reagiert und ihrerseits eine Pressemitteilung veröffentlicht. Darin hat sie angekündigt, dass sie den erlassenen Bußgeldbescheid nicht akzeptiert und gerichtlich dagegen vorgehen wird.
Aus Sicht des Datenschutzrechtlers ist das eine gute Nachricht. Denn nur so können die Maßgaben der Aufsichtsbehörden einer richterlichen Überprüfung unterzogen werden. Dabei dürfte sowohl zu den Anforderungen des Artikel 32 DSGVO, als auch zu dem Bußgeldkonzept der Aufsichtsbehörden etwas gesagt werden. Eine gerichtliche Beurteilung ist höchst wünschenswert. Denn eine Rechtsfortbildung kann sonst nicht stattfinden.
Probleme des Artikel 32 DSGVO
Art und Umfang der erforderlichen technischen und organisatorischen Maßnahmen (TOMs) sind in der Praxis tatsächlich für viele Unternehmen schwer einzuordnen. Das gilt übrigens genauso für die Verwaltung. So haben auf eine Umfrage des LfDI Baden-Württemberg viele Kommunen neben der Datenschutzfolgenabschätzung gerade die TOMs als problematisch in der Umsetzung genannt.
Unzureichende TOMs führen aber auch immer wieder zu Datenverlusten, Datenschutzvorfällen, Meldungen an Aufsichtsbehörden und daher auch zu Bußgeldern. Dabei sind nicht nur die Datenschutzthemen zu beachten. Es ist auch an die Sicherheit der Unternehmensdaten selbst und damit an Betriebsgeheimnisse usw. zu denken. Und den Imageverlust bei einer großen Datenpanne sollte man dabei auch nicht außer Acht lassen.
Hier muss also auch nach meiner Einschätzung dringend nachgebessert werden.
Und was ist konkret zu tun?
In Artikel 32 Absatz 1 DSGVO heißt es:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten […] sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete TOM, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […].“
Damit wird der so genannte risikobasierte Ansatz der DSGVO angesprochen: Jedes Unternehmen muss individuell prüfen, welche Risiken für die Daten konkret aufgrund welcher Szenarien bestehen. Erst dann sind darauf basierend die TOMs zu entwickeln.
Und, was oft vergessen wird: Die Einhaltung und Wirksamkeit einmal korrekt erstellter TOMs muss immer wieder überprüft werden. Notfalls sind Korrekturen erforderlich. Die Prüfungen selbst sind zu dokumentieren, um der Rechenschaftspflicht nachkommen zu können.
Ich helfe Ihnen dabei Ihre TOMs auf eine sichere Grundlage zu stellen. Nehmen Sie Kontakt mit mir auf und lassen Sie uns die Probleme zusammen angehen.
Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht