Datenleck aufgeflogen: 1&1 zu Rekordstrafe verdonnert

Mit einer Rekordstrafe von knapp zehn Millionen Euro geht Deutschlands oberste Datenschutzbehörde gegen den Telekommunikationskonzern 1&1 vor.

Offenbar müssen nun auch andere Unternehmen mit strengeren Kontrollen rechnen.

Deutschlands oberster Datenschutzbeauftragter Ulrich Kerber hat mit einer Rekordstrafe gegen den Konzern 1&1 verdeutlicht, dass Datenschutzkontrollen künftig vermehrt stattfinden werden. Die Zeit der Ruhe scheint also endgültig vorbei zu sein. Gegen den Telekommunikations-Konzern 1&1 mit Hauptsitz in Montabaur hat der SPD-Politiker mit 9,55 Millionen Euro das bislang höchste Bußgeld für Datenschutzverstöße in Deutschland verhängt. Im Detail ging es um den Schutz personenbezogener Daten aller 1&1-Kunden. Denn – so der Vorwurf – ein Anrufer brauchte bei der Kundenbetreuung des Unternehmens lediglich einen Namen und ein passendes Geburtsdatum anzugeben, um sich nach dieser kurzen Authentifizierung Zugang zu jeder Menge sensibler Kundendaten verschaffen zu können.

Aufgeflogen ist das Datenleck durch eine erboste Ex-Partnerin eines männlichen 1&1-Kunden. Diese verschaffte sich durch eine ungenügend sichere Authentifizierung Zugang zu sensiblen Stammdaten ihres Ex-Partners. Nur mit dessen Namen und Geburtsdatum konnte sie bei der Hotline Zugriff auf weitere wichtige, personenbezogene Daten des ehemaligen Lebenspartners ergaunern.

Schnell wurde aus dem Dilemma ein großer Fall: Deutschlands Datenschützer Nummer eins monierte, dass eine so laxe Authentifizierung bei weitem nicht den Datenschutz darstelle, den die DSGVO von Unternehmen fordert, die beispielsweise eine Kundenhotline betreiben. 1&1 zeigte sich offensichtlich insgesamt einsichtig, denn es wurde in kurzer Zeit ein deutlich sichereres Identifizierungsverfahren eingeführt. Allerdings hält man seitens 1&1 die Höhe der Strafe für unangemessen, daher wird der Konzern gegen den Bußgeldbescheid auch Rechtsmittel einlegen. Dieser Auffassung folgt der Bundesdatenschutzbeauftragte nicht, vielmehr wies er daraufhin, dass die Strafe auch deutlich höher hätte ausfallen können, da ja alle Kunden des Unternehmens prinzipiell von der Datenunsicherheit betroffen waren. Bei 1&1 hingegen beruft man sich bei der Anfechtung des Bußgelds auf die Behauptung, die Bußgeldregelung der DSGVO verstoße gegen das Grundgesetz. Vor allem Gleichbehandlung und Verhältnismäßigkeit sahen die Juristen, die für 1&1 tätig sind, im vorliegenden Fall nicht als gewahrt an.

Jetzt verfolgen natürlich viele Unternehmen verschiedener Größen mit Argusaugen, wie die Causa 1&1 weiter verläuft. Denn Ulrich Kerber hatte bereits durchblicken lassen, dass in Zukunft auch die Hotlines anderer Anbieter von Seiten des Datenschutzes unter die Lupe genommen werden könnten. Denn er hat angeregt, nun auch bei vielen anderen Telekommunikationsanbietern anzuklopfen, um sich ein Bild vom jeweiligen Status der Kundensicherheit in Sachen Datenschutz zu machen. Prinzipiell sollten nun auch kleinere Unternehmen – nicht nur aus Eigennutz – Ihre Authentifizierungsmechanismen sorgfältig hinsichtlich ausreichenden Datenschutzes überprüfen.

Minimum sollte bei Kundenservice-Hotlines eine Zweifaktor-Authentifizierung sein. Bei einer solchen Verfahrensweise werden zwei unterschiedliche und völlig voneinander getrennte Verifizierungskomponenten, wie beispielsweise Rückfragen zu Details des Vertrags, die nur der Vertragspartner kennen kann, angewendet. Oder durch einen Rückruf, dann aber nicht ohne eine Überprüfung der Telefonnummer, die der Anrufer angibt. Wenn dies nicht mindestens als Sicherungskonzept vorliegt, wird das voraussichtlich schnell Datenschützer auf den Plan rufen.