9,5 Millionen Euro Strafe für 1&1
Wie bekannt, sind Unternehmen verpflichtet, durch technisch-organisatorische Maßnahmen die gespeicherten personenbezogenen Daten vor dem Zugriff Dritter zu schützen. Diese Maßnahmen waren in diesem Fall aus Sicht des BfDI allerdings nicht ausreichend.
Weitergabe einer Rufnummer an Dritte
In dem in der Presse geschilderten Fall gelang es einem Anrufer, über die Hotline des Unternehmens die Telefonnummer eines ehemaligen Lebenspartners zu ermitteln.
Um an die gewünschten Informationen zu gelangen, habe die Angabe von Namen und Geburtsdatum genügt. Hier sieht die Behörde eine Verletzung der Verpflichtung zur Ergreifung geeigneter Maßnahmen.
Systematisches Versagen des Datenschutzes
Denn auf dem gleichen Weg wäre die Abfrage weiterer Informationen möglich gewesen. Da ein systematisches Versagen vorlag, wären somit alle Kundendaten unzureichend geschützt gewesen.
Da sich das Unternehmen aber einsichtig und kooperativ verhielt, habe die Behörde ein Bußgeld im unteren Bereich des Möglichen verhängt.
Zum Verfahren wird der BfDI Ulrich Kelber zitiert: „Die europäische Datenschutz-Grundverordnung gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.“
1&1 will gegen Bußgeld klagen
Das betroffene Unternehmen ist mit dem Bußgeldbescheid nicht einverstanden und will dagegen juristisch vorgehen.
In einer Stellungnahme betont 1&1, dass es sich um einen einmaligen Vorgang gehandelt habe. Zudem seien seitdem die Schutzmechanismen noch weiter verbessert worden.
Begründet wird der Einspruch gegen das Bußgeld, zumindest in der Stellungnahme, allerdings mit zwei eher juristisch fragwürdigen Thesen:
„In der Datenschutz-Grundverordnung (DSGVO) ist der Umsatz allerdings nicht als Kriterium für die Bemessung der Bußgeldhöhe vorgesehen. Darüber hinaus verstößt die neue Bußgeldlogik gegen das Grundgesetz, insbesondere die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit.“
Doch Art. 83 DSGVO sieht bei der Bemessung des Bußgeldes ja eindeutig den Umsatz als Grundlage vor. Das ist in den Absätzen 4 und 5 dargelegt.
Zum anderen dürfte die Frage spannend sein, wie das Unternehmen den Gleichbehandlungsgrundsatz des Grundgesetzes auch auf juristische Personen ableiten will.