Was ist passiert?
Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) hat gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH ein Bußgeld in Höhe von 9.550.000 Euro verhängt. Grund für die Strafe war das unzureichende 1&1-Authentifizierungsverfahren.
Durch die Eingabe seines Namens und seines Geburtsdatums erhält man umfassende personenbezogene Daten zu jedem Kunden.
Der BfDI sieht darin einen Verstoß gegen Art. 32 DSGVO.
Das bedeutet, dass der BfDI die getroffenen Maßnahmen als unwirksam und als unzureichendes Schutzniveau bewertet. Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung personenbezogener Daten systematisch zu schützen. Dennoch zeigte 1&1 eine tolle Kooperation, die zu der oben beschriebenen Strafhöhe führte.
So werden Strafen berechnet
Grundsätzlich ist jede europäische Datenschutzaufsichtsbehörde verpflichtet, sicherzustellen, dass die Verhängung von Strafen im Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Abhängig von den Umständen des Einzelfalls können zusätzlich zu oder anstelle der Maßnahmen nach Artikel 58 Absatz 2 Buchstabe a) Bußgelder verhängt werden – h) und j) aufgrund der DSGVO. Die Höhe der Strafe wird auf der Grundlage folgender Kriterien festgelegt:
Nichtbeachtung der Weisungen der Aufsichtsbehörde gemäß Art.
Gemäß Art. 58 Abs. 2 DSGVO drohen Geldstrafen von bis zu 20.000.000 EUR oder im Falle eines Unternehmens bis zu 4 % seines gesamten weltweiten Jahresumsatzes aus dem vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist.