Neues zum Datenschutzrecht

9.12.2019

Weiteres Bußgeld in Millionenhöhe von deutscher Datenschutzaufsicht verhängt

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) hat gegen einen Telekommunikationsdienstleister wegen eines unzureichenden Authentifizierungsverfahrens eine Geldbuße in Höhe von 9,55 Mio Euro verhängt.

Hintergrund

Im konkreten Fall war es möglich, bei einem Anruf bei der Kundenbetreuung allein durch Angabe des Namens und des Geburtsdatums eines Kunden weitere personenbezogenen Kundeninformationen zu erhalten. Diese Art und Weise, Kunden vor einer Auskunft zu authentifizieren, verstoße gegen die datenschutzgesetzliche Pflicht, angemessene technische und organisatorische Maßnahmen zu treffen.

Der BfDI blieb laut Pressemitteilung im unteren Bereich des möglichen Bußgeldrahmens, weil sich das Telekommunikationsunternehmen „einsichtig und äußerst kooperativ“ zeigt. In einem ersten Schritt wurde das Authentifizierungsverfahren durch die Abfrage zusätzlicher Angaben zumindest etwas verbessert. In einem zweiten – noch nicht abgeschlossenen – Schritt wird in Absprache mit dem BfDI ein gänzlich neues, technisch und datenschutzrechtlich angemessenes Authentifizierungsverfahren eingeführt.

Ungeachtet der Einsicht und Kooperation des Telekommunikationsunternehmens, die im Rahmen der Bußgeldbemessung positiv berücksichtigt worden sind, sah der BfDI ein Bußgeld in Höhe von 9,55 Mio. Euro als geboten an. Es handelte sich weder um einen Einzelfall noch war lediglich ein kleiner Teil an Kundendaten betroffen. Vielmehr lag ein systematischer Mangel vor, der ein Risiko für den Gesamtbestand der Kundendaten darstellte.

Weiterer Fall

Eine weitere „Hausnummer“ nannte der BfDI für den Fall, in dem ein (anderes) Telekommunikationsunternehmen trotz mehrmaliger Aufforderung seiner gesetzlichen Pflicht zur Benennung eines Datenschutzbeauftragten nach Art. 37 DSGVO nicht nachgekommen ist. Bei der Höhe war laut BfDI ausschlaggebend gewesen, dass es sich um ein Unternehmen aus der Kategorie Kleinstunternehmen handelte.

Hinweise für die Praxis

Beide Fälle zeigen, wie unterschiedlich die Bußgeldbemessung bei Verstößen gegen das Datenschutzrecht ausfallen kann. Hierbei gilt es jedoch zu beachten, dass sich die Fälle in vielen Punkten wie Größe des Unternehmens, Art des Verstoßes und damit verbundenes Risiko für die betroffenen Personen unterscheiden. Zudem lassen sich den Pressemitteilungen der Aufsichtsbehörden nicht alle – notwendigen – Details entnehmen, die für eine abschließende Einordnung erforderlich sind. Schließlich lassen diese Beispiele noch nicht erkennen, ob das neue Berechnungsmodell der deutschen Datenschutzaufsichtsbehörden tatsächlich eine nachvollziehbare, transparente und einzelfallgerechte Bußgeldzumessung garantiert, wovon zumindest die Datenschutzaufsichtsbehörden ausgehen.

Sollten Sie Fragen zur Verhängung von Bußgeldern, datenschutzaufsichtsbehördlichen Prüfungen oder sonstigen datenschutzrechtlichen Themen wie angemessene technische und organisatorische Maßnahmen oder die Bestellung eines Datenschutzbeauftragten haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.

Zurück zur Übersicht