Die Datenschutzbehörden haben ordentlich Fahrt aufgenommen, was die Verfolgung von Datenschutzverstößen sowie die Verhängung von Bußgeldern betrifft. Zu Beginn dieser Woche wurde dem Telekommunikationsdienstleister 1&1 eine Datenschutz Geldbuße in Höhe von 9,55 Mio. Euro auferlegt, was in diesem Fall sogar als milde Strafe zu werten ist.
Die Verhängung der Strafe wurde nicht durch die Aufsichtsbehörde des Landes Rheinland-Pfalz,
sondern durch den Bundesbeauftragten für Datenschutz und die Informationsfreiheit (BfDI) bekannt gemacht. Als Grund für die Ahnung verweisen die Datenschützer auf den Umfang mit personenbezogenen Daten.
Daten mit Personenbezug unzureichend geschützt
Anrufer der Service-Hotline konnten unter Angabe von Name und Geburtsdatum umfassend Daten mit Personenbezug abfragen – und das von sämtlichen Kunden des Unternehmens. Aus Sicht der Datenschützer stellt das Abfragen des Geburtsdatums keine ausreichende Maßnahme zum Schutz der Daten dar. Sie sehen darin einen Verstoß gegen Art. 32 DSGVO und fordern umfassendere organisatorische sowie technische Maßnahmen, die einen verbesserten Datenschutz gewährleisten.
Interessant ist, dass der BfDI in seiner Mittelung auf die gute Kooperation des Telekommunikationsdienstleisters hinweist. Das Unternehmen zeigte sich demnach einsichtig und arbeitet gut mit der Behörde zusammen, um eine wirskame Lösung zu entwickeln. Angesichts dieser Tatsache dürften sich einige Außenstehende fragen, weshalb das Bußgeld dann so stattlich bemessen ist. Immerhin zählt es zu den bisher höchsten seiner Art.
In Relation ein niedriges Bußgeld
Die Antwort liefert in diesem Fall die DSGVO. Mit ihrem Inkrafttreten wurden die Bußgelder deutlich angehoben, indem eine Koppelung der Geldstrafe an den Umsatz einer Organisation erfolgte. Da 1&1 zu den größten Telekommunikationsdienstleistern in Europa zählt, werden dort entsprechend große Umsätze getätigt. In Relation ist das Bußgeld sogar niedrig bemessen – würde das Unternehmen mit der Behörde nicht so gut kooperieren, wäre eine höhere Geldstrafe möglich.
Dieser Fall verdeutlicht, welche Bedeutung dem betrieblichen Datenschutz mittlerweile zukommt und welche unangenehmen Konsequenzen bei Verstößen drohen. Umso entscheidender ist es für Unternehmen, den eigenen Prozessen genügend Aufmerksamkeit zu schenken bzw. diese zu prüfen und abzusichern. Dies ist die einzige Möglichkeit, um die Risiken im Datenschutz auf ein Minimum zu verringern.