9,55 Mio. Euro möchte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) vom Telekommunikationsdienstleister 1&1 Telecom haben. Das meldet die Plattform datenschutzbeauftragter-info.de. Er soll im Sinne der DSGVO keine hinreichenden technischen und organisatorischen Maßnahmen (TOM) ergriffen haben, um telefonische Anrufer sicher zu authentifizieren.
Bei der telefonischen Kundenbetreuung von 1&1 müssen sich die Kunden mit Namen und Geburtsdatum authentifizieren. Der BfDI befand, diese Authentifizierungsmethode sei zu schwach. Fremde könnten so mit vergleichsweise geringem Aufwand über praktisch alle bei 1&1 gespeicherten Daten Auskunft erhalten. Daher liege ein Verstoß gegen Art. 32 DSGVO vor.
Obwohl 1&1 Maßnahmen zur Verbesserung angekündigt hatte, sei das Bußgeld geboten, so der BfDI. Aufgrund des kooperativen Verhaltens von 1&1 sei man im unteren Bereich des Bußgeldrahmens geblieben. 1&1 will den Bußgeldbescheid nicht zu akzeptieren und gerichtlich dagegen vorgehen.
Art. 32 DSGVO ist eine maßgebliche Norm für den in der DSGVO verfolgten risikobasierten Ansatz. Die DSGVO legt in vielen Fällen keine konkreten Maßnahmen fest. Stattdessen findet sich in Art. 32 Abs. 1 DSGVO folgende Formulierung:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten […] sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete TOM, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […].“
Ein Verstoß gegen Art. 32 DSGVO kann nach Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Bei einem Jahresumsatz 2018 des Mutterkonzerns United Internet von 5,131 Mrd. Euro wäre somit ein Bußgeld von bis zu 102,62 Mio. Euro möglich gewesen.