Unzureichende Authentifizierung im Telefonsupport bei 1&1 Telekom GmbH

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Bei der Kundenbetreuung von 1&1 konnten Anrufer durch Angabe von Namens und Geburtsdatums weitreichende Informationen zu personenbezogenen Daten des Betroffenen erhalten. Eine weitere Authentifizierung des Anrufers erfolgte nämlich nicht. Darin sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telekom kooperativ und hat den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird 1&1 Telekom ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einführen.

Laut BfDI war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Daher wurde die Strafe von 9.550.000 EUR ausgesprochen. Aus Sicht des BfDI ist diese Strafe im unteren Bereich des möglichen Strafrahmens.

Entscheidungsdatum:
09.12.2019

Land:
Deutschland

Art des Verstoßes:
nicht ausreichender Datenschutz

Betroffene Datensätze:

Waren sensible Daten betroffen?:
Nein

verhängte Geldstrafe:
€ 9,550,000,-

Verstoß gegen DSGVO Paragraph:

32. Sicherheit der Verarbeitung

Quelle:
Pressemitteilung des deutschen Bundesdatenschutzbeauftragten

Webinar "DSGVO und Cyberkriminalität – Gefahren rechtzeitig erkennen"

Webinar "DSGVO und Cyberkriminalität – Gefahren rechtzeitig erkennen"

Webinar "DSGVO und Cyberkriminalität – Gefahren rechtzeitig erkennen"