Aktuelles – Bußgeld gegen 1&1
Was ist passiert?
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt. Grund für das verhängte Bußgeld war das unzureichende Authentifizierungsverfahren von 1&1. Alleine durch die Angabe von Name und Geburtstag konnte man weitreichend personenbezogene Daten über jeglichen Kunden erlangen.
Hierin sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO. Das bedeutet, dass der BfDI die getroffenen Maßnahmen als ein nicht wirksames und angemessenes Schutzniveau bewertet. Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen. 1&1 zeigte sich dennoch als sehr kooperativ, was zu der oben stehenden Bußgeldhöhe führte.
So werden Bußgelder berechnet
Grundsätzlich ist jede europäische Aufsichtsbehörde für den Datenschutz verpflichtet, sicher zu stellen, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Abs. 2 lit. a) – h) und j) DSGVO verhängt. Nach den folgenden Kriterien wird die Höhe des Bußgeldes bestimmt:
- Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
- jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
- Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Art. 25 DSGVO und Art. 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen;
- etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
- Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO werden im Einklang mit Art. 83 Abs. 2 DSGVO Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
