Fast 10 Mio. Euro: Heftige Geldstrafe gegen 1&1 wegen Datenschutzes

Das Thema Datenschutz ist heutzutage eines der wichtigsten, wenn es um Telekommunikation geht, doch selbst die ganz Großen des Geschäfts sind nicht vor Verstößen gefeit. Meint jedenfalls der Bundesbeauftragte für den Datenschutz und die ... mehr... Logo, 1&1, Standort, United Internet Bildquelle: 1&1 Drillisch / United Internet Logo, 1&1, Standort, United Internet Logo, 1&1, Standort, United Internet 1&1 Drillisch / United Internet

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich weiß ja nicht, ob das immer so ideal ist. Ich bin schon 8 Jahre bei 1&1 und möchte natürlich nicht, dass Jemand am Telefon Auskünfte über meinen Vertrag erhalten kann. Auf der anderen Seite habe ich Verträge dort für mehrere Verwandte abgeschlossen und diese dann natürlich regelmäßig telefonisch auch aktiv verlängert, um bessere Konditionen zu erhalten, z. B. Fritz!Boxen, nen reduzierten Grundpreis usw. Das war / ist ja gerade das Schöne bei dem Anbieter. Die Pflegeleichtigkeit verbunden mit der Tatsache, dass man das Ganze einfach durch nen Anruf zur richtigen Zeit "lösen" konnte.
 
@RollinCHK: ja, dann sollte 1und1 Administrativen Zugang zulassen. Dann kann die Omi aus Hauptstraße 23 sagen dass RollinCHK das RECHT hat Vertragsangelegenheiten anzupassen und dass die lediglich Schriftlich informiert werde. Ansonsten besteht immer noch ein Vertrag zwischen A und B und C hat keinerlei RECHTE hier Informationen von B über A zu erhalten <- niemals.
 
@bear7: Man kann schon ne Vollmacht erteilen, das Formular hab ich schon auf dem PC liegen, aber das ist ja nicht mal das Ding.

Trotzdem frage ich mich, für wen wird denn in der Praxis irgendwas gewonnen? Selbst wenn ein böser Mensch für seinen Feind den bestehenden Vertrag "upgraded", hat das Opfer ja ohnehin ein Widerrufsrecht.
 
@RollinCHK: und ich hab dann die Arbeit zu widerrufen, obwohl ich nichts wollte... Ist doch kacke
 
@bear7: Ach ja, so was schon mal erlebt? Wie praxisnah ist das denn? Also bitte...
 
@RollinCHK: Ähm... SEHR praxisnah. Das passiert immer wieder als Bestandteil des Cyber-Mobbings und da reden wir dann nicht von "einmal" und "ein Upgrade" sondern von immer wieder und bei den unterschiedlichsten Dienstleistern, aber gerade bei Mobilfunk- und Telekommunikationsanbietern gab es schon die steilsten Geschichten.
 
@RollinCHK: Kommt darauf an. Vertragsangelegenheiten werden Grundsätzlich Aufgezeichnet. Der Kunde muss das was der Mitarbeiter gesagt hat mit einem Klaren Ja ich will oder Ja das ist so OK bestätigen.
Dadurch wird der Vertrag aktiv. Und man könnte sagen das es dann ein Vertragsabschluss ist als sei er in Papierformat
 
@RollinCHK: Spannenderweise hat 1&1 von Anfang an mit dem Datenschützer kooperiert, es ist auch kein Schaden bekannt geworden. Nach DSGVO müsste gar keine Strafe verhängt werden. Nur haben sich die deutschen (!) Datenschützer selbst auf einen extrem Strafkatalog geeinigt, der von Anfang an von Experten kritisiert wurde da er große Unternehmen pauschal zu ultrahohen Strafen verdonnert - unabhängig von der Art und Auswirkung des Verstoßes. Ich hoffe 1&1 gewinnt, denn ansonsten wird in Zukunft kein großes Unternehmen mehr Datenschutzverstöße veröffentlichen sondern alles versuchen die zu vertuschen.
 
@Nunk-Junge: Es ist kein Schaden entstanden?! Der ehemalige Lebenspartner hat sich die Handynummer der Ex geben lassen. Stalking und entsprechende psychische Schäden sind dir ein Begriff?
 
@DaveDamage: Zum Einen war es umgekehrt: Die Ex hat die Handynummer ihres Ex-Mannes herausbekommen. Das ist ein Datenschutz-Problem ohne Frage. Aber so funktioniert die Frage nach Schaden nicht. Da muss man sich (leider) nach dem Gesetz richten. Hier gilt u.a. §249 BGB welches Schadensersatzes regelt. Danach ist praktisch kein Schaden entstanden. Oder für das was Du nennst §253 BGB Immaterieller Schaden. (1) Wegen eines Schadens, der nicht Vermögensschaden ist, kann Entschädigung in Geld nur in den durch das Gesetz bestimmten Fällen gefordert werden. - Daher ist in diesem Fall vor dem Gesetz praktisch kein Schaden entstanden.
 
@Nunk-Junge: Es geht hier ja aber nicht um Schadenersatz sondern eine Strafe. Durch gestohlene persönliche Daten entsteht nicht unbedingt ein materieller Schaden. Aber nur weil kein materieller Schaden entsteht heißt es ja nicht, dass das fahrlässige Handeln nicht gestraft werden kann. Die DSGVO soll ja das Individuum schützen, und zu zwar nur nebensächlich vor materiellem Schaden. Ansonsten bräuchte es die DSGVO nicht. Wer durch Datendiebstahl materiellen Schaden erlitten hat, hatte auch schon vorher genügend rechtliche Wege auf einen Schadenersatz.
 
@DaveDamage: Ich sag ja auch nicht, dass es gar keine Strafe geben soll. Aber 10 Millionen ist ein klares Signal an alle Firmen, Datenschutz-Probleme zu vertuschen.
 
@Nunk-Junge: Oder eben endlich aktiv zu werden und uralte Prozesse zu hinterfragen und umzustellen.
 
@DaveDamage: Jedes Unternehmen hat zahllose Prozesse, viele sind uralt. Niemand ist in der Lage plötzlich alle zu hinterfragen, denn es stecken viele Mannjahre an Arbeit darin. Ich kenne das bei vielen Kunden: Schon einzelne Prozesse zu ändern ist sehr aufwändig und teurer. Je nach Komplexität kann das in mehrjährige Projekte ausarten. Und in dem Fall von 1&1 hat sich das Unternehmen direkt nachdem das Problem bekannt wurde sehr kooperativ verhalten und auch schnell angefangen Änderungen vorzunehmen. Welchen Sinn macht es, das mit 10 Miollionen Euro zu bestrafen? Wieviel mehr soll man ein Unternehmen bestrafen, dass sich nicht kooperativ verhält und das lieber abstreitet und vertuscht?
 
@Nunk-Junge: Sich erst an geltende Rechtslagen anzupassen, nach dem man auf die Schnauze geflogen ist, kann ja wohl nicht wünschenswert sein. Und anscheinend war es in diesem Fall kein unzumutbarer Aufwand. Es wurde ja schließlich schnell gehandelt, nachdem man aufgeflogen ist. Wenn es neue Gesetze gibt müssen Unternehmen ihre Prozesse hinterfragen, egal wie eingefahren diese sind. Das ist einer der Grundsätze des ehrbaren Kaufmann und letztendlich auch ein Grundsatz des Rechtsstaats. Nur weil ich zu faul bin kann ich nicht Gesetze ignorieren bis ich auffalle und dann auch noch auf milde Strafen hoffen.
 
@DaveDamage: Soll 1&1 jetzt den Betrieb für 5 Jahre stillegen, um erst alles zu überarbeiten? Die Zahl 5 Jahre ist zwar frei von mir gewählt, da ich 1&1 nur von außen kenne, aber eher noch eine viel zu kurze Zeit für solche Änderungen. Sorry, das ist völlig weltfremd. Hast Du jemals in einer Firma gearbeitet?
 
@Nunk-Junge: Sorry, aber was du schreibst ist einfach Nonsens. Es gab neue Gesetze, Firmen hatten genug Zeit sich darauf vorzubereiten, wenn sie das nicht gemacht haben, haben sie jetzt zu Recht ne Strafe am Hals. Das haben wir als IT Dienstleister (120 Mitarbeiter) so gemacht und genau so sehr viele unserer Kunden (Kommunen und über alle Branchen verteilt, 5 bis 500 Mitarbeitern). Unsere Geschäftsführung hat gemeinsam mit einem externen Datenschutzbeauftragten die einzelnen Abteilungen besucht und mit den Abteilungsleitern die Prozesse auf Konformität geprüft. Aufwand für jede Abteilung etwa ein halber Tag. Im Falle von 1&1 verteilt sich das auf mehr Abteilungen, aber die Hierarchie ist auch größer. Wenn ein Unternehmen so unflexibel ist sich an neue Gesetze anzupassen (was permanent gefordert ist, nicht nur durch die DSGVO) muss die Führung hinterfragt werden oder es stellt sich die Frage weshalb das Tagesgeschäft gegen so viele Gesetze verstößt. Wenn 1&1 so viel Aufwand haben würde wie du spekulierst ist die Einführung der DSGVO zu unser aller Schutz ja sinnvoll und damit auch die Strafe. Aber wie schon erwähnt, die Änderung im Prozess konnte ja kurzfristig umgesetzt werden. Wir sind also weit weg von deiner spekulierten Zeit.

Das einzige, was in dem Fall fragwürdig ist, ist ob 1&1 hätte wissen müssen, dass die Authentifizierung unzureichend ist. Wenn das vorher unabhängig geprüft wurde und als OK durch ging ist die Strafe fragwürdig.
 
@DaveDamage: Wir haben als IT-Dienstleister Kunden im öffentlichen und privaten Bereich. Tendenziell er größere Kunden. Und Prozesse sind oftmals so verzahnt, dass eine Änderung zu großen Projekten ausufern können. Gerade letztens war ich bei einem Kunden, der einen schlecht laufenden Prozess analysierte und verbesserte, bei dem mehr als ein Dutzend unterschiedliche Teams involviert waren und viele Abhängigkeiten zu anderen Prozessen existierten. Eine Verbesserung des Prozesses wird schätzungsweise mindestens ein Jahr dauern. Und das ist nur ein Prozess... Ich habe in kleinen wie in großen Firmen gearbeitet und kann zu Deiner Vorstellung sagen: "No Way. In der Realität nicht machbar"
 
@Nunk-Junge: Dass es generell Aufwand ist Prozesse in einem Unternehmen zu überarbeiten, ist klar. Allerdings verstößt auch nicht jeder Prozess gegen die DSGVO. Mir ist kein einziger Fall in unserem Kundenkreis bekannt, in dem es mehr als ein paar Manntage Aufwand war einen Prozess, der personenbezogene Daten beinhaltet, zu optimieren. Wir hatten sogar innerhalb etwa zwei Wochen alle Webseiten angepasst und die SEO Aktivitäten angepasst. Du gehst von einem Produktionsprozess oder ähnlichem aus, in dem eine Umstellung nochmal mehr weh tut. Aber nochmals: In den meisten Fällen sind doch gar keinen personenbezogenen Daten involviert oder notwendig. Und wenn sie so kritisch für das Unternehmen sind macht man etwas falsch oder muss sich an die Gesetzgebung halten. Ein "Verschlafen" zählt halt nicht. Wenn ich täglich durch die gleiche Straße fahre, die irgendwann zur Einbahnstraße wird, ich aber weiter falsch rum durch die Straße fahre, einen Unfall baue, kann ich auch nicht einfach sagen "Achso, früher was das anders, sorry, kommt nicht mehr vor". Und "No Way. In der Realität nicht machbar.", Schwachsinn, in solchen Unternehmen stinkt der Fisch vom Kopf. Ein guter IT-Dienstleister bekommt das beim Kunden auf GF Ebene argumentiert und abgerechnet.
 
@DaveDamage: Es gibt selten Prozesse die keine personenbezogenen Daten beinhalten. Viele Menschen unterschätzen was personenbezogene Daten sind. Name und Vorname sieht jeder ein. Aber auch IP-Adressen sind personenbezogene Daten oder Kunden- oder Steuernummern, KFZ-Kennzeichen, Kontostände, Bestellungen, ... Selbst viele sogenannte anonymisierte Daten sind in Wirklichkeit personenbezogene Daten. In den Unternehmen in denen ich tätig war, gibt es allenfalls einzelne Prozesse die keine personenbezogenen Daten haben, 99% aber sehr wohl.
 
Mal ehrlich das ein ehemaliger Lebenspartner die wichtigsten Daten von einem kennt, und damit wahrscheinlich 95% aller Sicherheitsfragen beantworten kann, verwundert mich nicht wirklich.

Fragen wie Name, Geburtsdatum, oder vielleicht letzte x Stellen des Bankkontos sind da doch kein Problem.
 
@DennyK: Das ist das Problem. 1&1 verteilt jetzt an seine Kunden Service-PINs, fünf stellig, kann man aberauch ändern, habe ich eben über die Control Center App gemacht. OK, die muss man natürlich erst mal kennen. Dennoch ists da doch auch so, dass man nicht für jede Geschichte ne unterschiedliche PIN nehmen kann. Also kann man in einer längeren Partnerschaft auch davon ausgehen, dass man irgendwann auch solche Zahlencodes kennt.
 
@RollinCHK: Ja und? Was ist eigentlich an dieser Sache schlimm? Ich finde es sogar schlimmer, wenn der/die Lebenspartner/in z. B. im Falle meines Todes nicht an solchen Sachen kommen würde. Es gibt grundsätzlich keine 100%ige Sicherheit aber Deutschland schafft es langsam alles (auch Sinnvolles) zu verbieten bzw. zu verschlüsseln. Manchmal frage ich mich, was Nutzer überhaupt wollen. Bitte daran denken - es gibt zu jeder einen Seite immer eine andere Seite. Will ich also was nutzen, habe ich auch evtl. Nachteile. Man muss nur einfach mal abwägen und sich dann entscheiden. Der Datenschutz in Deutschland nimmt Ausmaße an, welche nach meiner Ansicht langsam lächerlich werden.
 
ganz einfache Lösung. Rückruf auf die Vertragsnumer bzw hinterlegte Nummer. wWr als Hotelbetrieb machen dies so und auch Unternehmen wie bookings, hrs und co verfahren so, sobald es um sensible Daten geht.

besser kann man sich eigentlich kaum absichern.
 
@lurchie: Finde ich vernünftig. Allerdings sollte man dann auch Festnetz und Mobilnummer gespeichert haben. Ansonsten wird eine Auskunft, sofern man Unterwegs ist, zu einem unüberwindbaren Hindernis.
 
Ich kann den Herren vom Datenschutz vollkommen verstehen.
Ich habe selber bei genannter Firma im Backoffice gearbeitet und kann Bestätigen das noch bis Juni 2019 eine Authentizität an Hand von Kundennummer/Rufnummer und Geburtsdatum reichte.
Im Juni kam dann eine neue Anweisung das als Weiteres Kreterium noch die IBAN abgefragt werden muss.
In meinen Augen ist auch das nicht ausreichend.
Es ist doch nicht schwer bei den Verträgen ein Persönliches Kundenkennwort zu hinterlegen welches wie im Mobilfunk Bereich bei den anderen Anbietern abgefragt wird.
 
@Kai2019: Noch viel weniger ist das Problem, wenn man nach der Bekanntgabe des Problems einfach auf die hinterlegte Rufnummer zurück ruft. Dann kann man ziemlich sicher sein, bei dem richtigen Ansprechpartner zu sein.
 
@Hanni&Nanni: Das Problem ist, daß viele Kunden die hinterlegte Kontaktnummer nicht pflegen und man oft unter dieser den Vertragsinhaber nicht erreicht. Ich erlebe jeden Tag, daß dort dort bei Vertragsabschluss hinterlegte Nummer entweder nicht mehr gültig ist (also schon irgendeiner anderen Person gehört) oder es die Nummer des Vertragsnutzers ist, welcher dann keine Befugnisse hat.
 
@Asathor: Das ist aber nicht das Problem des Anbieters, in diesem Fall hier beim Mobilfunk liegt ja die Vertragsnummer vor. Bei anderen müssen die Kunden diese halt pflegen. Wer anruft und eine falsche Nummer hinterlegt ist oder sie nicht mehr aktuell ist, wird halt aufgefordert sich online anzumelden und seine Daten auf den aktuellsten Stand zu bringen. Ein Kundenkennwort finde ich auch keine 100 % sichere Lösung, dort sollte eher auf die Handynummer eine zufallsgenerierte Zahl geschickt werden mit der man sich authentifiziert oder ein Authenticator verwendet werden.

Jeder schreit in Deutschland nach Datenschutz und ist am meckern wenn die Unternehmen keine 100% vernünftige Lösung finden, die Leute wollen aber selber damit nichts zu tun haben und keinen Finger rühren das ihre Daten sicher sind. Der Datenschutz geht beide Parteien etwas an und kann nicht nur durch die Firma selber garantiert werden, der Kunde muss hier halt auch aktiv mitwirken.
 
Dann bitte Vodafone auch.. Eine Frau ruft dort an, sagt nur meinen Nachnahmen und bekommt Auskunft übers hinterlegte Kundenkonto.
 
Nicht nur dort auch bei O2 und der Post sind Datenschutzpannen passiert. Die Anwender bekommen dann rigorose Aussagen wie "vermutlich haben Sie einen Virenbefall auf ihrem Handy". Sauerei aber mein Anliegen liegt jeweils bei dem Landesbeauftragten für Datenschutz.
Kommentar abgeben Netiquette beachten!
Einloggen

United Internet Aktienkurs in Euro

United Internet Aktienkurs -1 Jahr
Zeitraum: 1 Jahr