Zum Hintergrund der Verhängung eines Bußgelds in Höhe von nahezu zehn Millionen Euro gegen 1&1 gibt es zwei Schilderungen. Die eine ist sehr allgemein gehalten und stammt vom Bundesdatenschutzbeauftragten, die andere ist sehr auf den konkreten Fall bezogen und stammt von 1&1.

Die Behörde beschreibt sehr allgemein, dass es bei 1&1 „keine hinreichenden technisch-organisatorischen Maßnahmen gegeben habe, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können“. So hätte die Behörde „Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten.“

Zwar habe 1& 1 im Laufe des Ermittlungsverfahrens den „Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert“ und werde zudem „ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren“ einführen. Ein Bußgeld hätte indes dennoch festgesetzt werden müssen, weil „unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt (war), sondern ein Risiko für den gesamten Kundenbestand darstellte“. Wegen der hohen Einsichtigkeit und Kooperationsbereitschaft habe der Bundesdatenschutzbeauftragte lediglich eine Strafe im „unteren Bereich des möglichen Bußgeldrahmens“ verhängt.

1&1 beschreibt den Vorgang etwas anders. Danach habe es genau einen Verstoß gegeben und der stamme aus 2018. Eine Frau habe bei 1&1 angerufen, um sich nach der Handynummer ihres ehemaligen Lebenspartners zu erkundigen. Die zuständige Mitarbeiterin habe daraufhin den Namen und das Geburtsdatum des Mannes abgefragt und nach korrekter Beantwortung der Fragen durch die Anruferin die Handynummer genannt. Damit soll sie die damals bei 1&1 gültigen Sicherheitsbestimmungen eingehalten haben.

1&1 will nun gegen den Bußgeldbescheid klagen. Zum einen handele es sich nach Auffassung des Providers bei dem vermeintlichen DSGVO-Verstoß nicht um die Frage nach dem „generellen Schutz der bei 1&1 gespeicherten Daten, sondern um die Frage, wie Kunden auf ihre Vertragsinformationen zugreifen können.“

Zum anderen sei die Bußgeldhöhe unter mehreren Aspekten rechtswidrig. Zunächst sehe die DSGVO keine Kopplung der Bußgeldhöhe an Unternehmensumsätze vor. Zudem sei das grundgesetzliche Gebot der Verhältnismäßigkeit und der Gleichbehandlung verletzt.

Artikel 83 der EU-Datenschutzgrundverordnung (DSGVO) sieht sehr wohl unterschiedliche Kopplungen der Bußgeldhöhe an den Unternehmensumsatz vor. Dabei sind, je nach Verstoß, Bußgelder in Höhe von bis zu vier Prozent des weltweiten Umsatzes des Vorjahres möglich.

Auch inhaltlich dürfte 1&1 kaum richterliche Zustimmung finden. Unstreitig ist eine Handynummer den personenbezogenen Daten zuzuordnen. Im vorliegenden Falle wird der Datensatz sogar noch um Name und Geburtsdatum angereichert und damit plausibilisiert. Eine Vollmacht hat die Auskunftssuchende offenbar nicht vorgelegt. Somit wird es sich bei der Bekanntgabe der Telefonnummer um eine „unbefugte Datenübermittlung“ gehandelt haben, die den Tatbestand einer Ordnungswidrigkeit erfüllen kann.

Der Datenschutzbeauftragte könnte zudem davon ausgegangen sein, dass es neben dem bekannt gewordenen Verstoß ungezählte weitere nach dem gleichen Muster gegeben haben könnte. Immerhin hatte 1&1 eingeräumt, dass das Vorgehen den damaligen internen Richtlinien voll entsprochen hatte.

Scheint es nun alles in allem so, als wäre 1&1 damit klar unterlegen, so ist das dennoch ein falscher Eindruck. Denn die DSGVO lässt Interpretations- und Ermessenspielräume, die 1&1 versuchen könnte, für sich zu nutzen.

Diese ergeben sich aus Artikel 83 Absatz 2 der DSGVO. Darin finden sich eine ganze Reihe von Verhältnismäßigkeitserwägungen, die jedenfalls der richterlichen Einschätzung und Überprüfung unterliegen, wobei auch eine abweichende Festlegung zum Bundesdatenschutzbeauftragten möglich wäre.

Passend dazu: Bislang höchstes DSGVO-Bußgeld Deutschlands: Delivery Hero ist aus dem Schneider