Kundendaten nicht ausreichend geschützt: Millionenbußgeld gegen 1&1

Kundendaten nicht ausreichend geschützt: Millionenbußgeld gegen 1&1

Auch beim telefonischen Kundensupport gilt: Datenschutz beachten! Der Telekommunikationsdienstleister 1&1 hatte hier nicht ausreichende Maßnahmen zur Datensicherheit ergriffen und wurde mit einem Bußgeld belegt – und zwar in Höhe von 9,55 Millionen Euro. Die Begründung: Der Zugriff auf Kundendaten bei der telefonischen Kundenbetreuung war nicht ausreichend gut geschützt.

Was war passiert?

Anrufer hätten bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden “weitreichende Informationen zu weiteren personenbezogenen Kundendaten” erhalten können.

Zwar habe 1&1 inzwischen einen verbesserten Authentifizierungsprozess eingeführt, eine Geldbuße sei jedoch geboten gewesen, so der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber. Denn der Verstoß habe ein “Risiko für den gesamten Kundenbestand” dargestellt. Herr Kelber verwies außerdem darauf, dass die Geldbuße höher hätte ausfallen können, das Unternehmen habe sich aber einsichtig gezeigt.

1&1 will klagen

1&1 kündigte an, gegen den Bescheid zu klagen. “Das Bußgeld ist absolut unverhältnismäßig”, teilte der Telekommunikationsdienstleister mit. Die Datenschutzbeauftragte des Unternehmens, Dr. Julia Zirfas, kritisierte zudem, dass die neue Bußgeldregelung sich auch am jährlichen Konzernumsatz orientiert. So können bereits kleinste Abweichungen riesige Geldbußen zur Folge haben.”

Was 1&1 jetzt besser macht

Inzwischen hat 1&1 jedem seiner Kunden eine persönliche Service-PIN bereitgestellt. In der dazugehörigen E-Mail heißt es: “Bitte halten Sie ab sofort immer Ihre persönliche 1&1 Service-PIN sowie zusätzlich Ihre 1&1 Rufnummer oder Ihre 1&1 Vertragsnummer bereit, wenn Sie bei uns anrufen. So kann der telefonische Kundenservice Sie als Vertragspartner identifizieren. Sie brauchen diese Angaben ab dem 16.12.2019 zwingend für Ihren Anruf bei uns. Nur so können Sie telefonisch auf Ihre 1&1 Verträge zugreifen oder diese ändern. Bitte geben Sie diese Daten nicht an Dritte weiter.”

Die 5-Stellige Service-PIN ist für alle Kunden im 1&1 Control-Center unter “Kundendaten” hinterlegt.

Fazit

Der BfDI setzt in zweierlei Hinsicht ein Zeichen. Einerseits hält sich Herr Kelber strikt an das neue Modell zur Berechnung von Bußgeldern, dass am 14. Oktober 2019 veröffentlicht wurde (unseren Beitrag hierzu finden Sie hier). Andererseits stellt der Bundesbeauftragte für Datenschutz klar, dass ein telefonischer Zugriff auf Kundendaten unter Verwendung von Bestandsdaten (wie z.B. das Geburtsdatum) einen nicht ausreichenden Schutz darstellt und somit als ein Verstoß gegen Art. 32 DSGVO geahndet werden kann.

Stellen Sie Ihren Kunden einen telefonischen Kundensupport mit Zugriff auf weitreichende Kundendaten zur Verfügung? Wenn ja, sollten Sie prüfen ob Ihr Authentifizierungsprozess ein ausreichendes Schutzniveau darstellt – gerne unterstützen wir Sie dabei.