BfDI: Bus­se von EUR 9.5 Mio. gegen einen Telecom-Provider

Der deut­sche Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) hat gegen den Tele­kom­mu­ni­ka­ti­ons­dienst­lei­ster 1&1 Tele­com GmbH eine Bus­se von EUR 9.55 Mio. ver­hängt. Aus der Medi­en­mit­tei­lung:

hat­te der BfDI Kennt­nis erlangt, dass Anru­fer bei der Kun­den­be­treu­ung des Unter­neh­mens allein schon durch Anga­be des Namens und Geburts­da­tums eines Kun­den weit­rei­chen­de Infor­ma­tio­nen zu wei­te­ren per­so­nen­be­zo­ge­nen Kun­den­da­ten erhal­ten konn­ten. In die­sem Authen­ti­fi­zie­rungs­ver­fah­ren sieht der BfDI einen Ver­stoß gegen Arti­kel 32 DSGVO, nach dem das Unter­neh­men ver­pflich­tet ist, geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu ergrei­fen, um die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten syste­ma­tisch zu schützen.

Dabei blieb der BfDI im unte­ren Bereich des Bussenrahmens.