Wie wir berichtet hatten, wurde gegen das Telekommunikationsunternehmen 1&1 ein Bußgeld in Höhe von 9,6 Millionen Euro von der zuständigen Aufsichtsbehörde BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit). In dem Fall ging es damals darum, dass man über die Hotline Auskünfte ohne Kennwort erhalten konnen und das Unternehmem als ausreichende Legitimatmion nur den Namen und das Geburtsdatum ausreichen ließ. In diesem Authentifizierungsverfahren sah der Bundesdatenschutzbeauftragte einen grob fahrlässigen Verstoß gegen Artikel 32 DSGVO. Daran konnte man eindringlich sehen, dass auf die Missachtung technischer und organisatorischer Sicherheitsaspekte ernsthafte Probleme, nämlich u.a. Bußgelder verursachen kann.
Nun hat das Landgericht Bonn das Internetunternehmen wegen des Datenschutzverstoßes verurteilt, die ursprünglich verhängte Geldbuße von 9,6 Millionen Euro aber auf 900.000 Euro herabgesetzt. Nach Aussage des Gerichts handele sich nur um einen geringen Verstoß, der nicht "zur massenhaften Herausgabe von Daten an Nichtberechtigte" geführt habe. Da die über Jahre bei 1&1 geübte Authentifizierungspraxis bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Für 9,6 Millionen reicht der Verstoß jedenfalls nicht aus.
Trotz abgesenkter Strafe sah sich der BfDI durch das Urteil jedoch vom Gericht bestätigt. Wir denken 1&1 wird es trotzdem freuen und dass damit die generelle Bußgeldberechungspraxis, die hauptsächliich auf den Konzenumsatz abstellt, in Frage gestellt wird, steht auf einem anderen Blatt. Zu der Praxis kann man sich hier ein Video auf Youtube ansehen.