Heiko Gossen spricht in dieser Folge mit Dr. Gerd Kiparski über die Details, Hintergründe und Learnings aus dem Bußgeldverfahren der 1&1 Drillisch AG gegen den Bundesbeauftragten für Datenschutz.
Dr. Kiparski schildert u.a sehr eindrücklich, warum man so ein Strafverfahren nicht unbedingt mitmachen muss. Wir sprechen über Risikomanagement, Maßnahmen zur Authentifizierung an der Kunden-Hotline, Einführung einer Service PIN und was so ein Bußgeldbescheid im Unternehmen auslöst. Wir gehen im Detail darauf ein, wie heute eine datenschutzkonforme Authentifizierung von Anrufern an der Hotline aussehen kann und welche Herausforderungen differenzierte Regelungen für verschiedene Anliegen des Kunden mit sich bringen.
Der Sachverhalt stellte sich grob so dar:
Die ehemalige Lebensgefährtin eines Kunden ruft an und erklärt, die offene Forderung des Kunden begleichen zu wollen. Da es keine „Berechtigtenliste“ gab und die Anruferin alle Daten zur Legitimation (Namen und Geburtsdatum) nennen konnte, wurde angenommen, dass sie berechtigt ist. Im Verlauf des Gesprächs hat die Anruferin dann auch die neue Telefonnummer ihres Ex-Partner erfahren und ihn daraufhin belästigt. Der Kunde erstattete Anzeige bei der Polizei, diese hat das Verfahren dann an den Bundesbeauftragten für Datenschutz abgegeben.
Wir gehen in dem 50-minütigen Gespräch unter anderem den Fragen nach:
- Welche Herausforderungen gab es im gerichtlichen Verfahren
- Welche Maßnahmen wurden seitens 1&1 umgesetzt?
- Was sind „angemessene“ Maßnahmen?
- Warum ist Dokumentation so wichtig?
- Was lernen Sie, was kann man aus dem Verfahren lernen?
- Was heißt das für das Bußgeld-Berechnungskonzept der Aufsichtsbehörden?
- Hat der Betroffene auch Schadensersatz gefordert?
- Wurde gegen die Anruferin auch ermittelt?
Die vollständige Urteilsbegründung ist hier abrufbar: https://openjur.de/u/2310641.html
Pressemitteilung des BfDI: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/28_Urteil-1und1.html
Pressemitteilung 1&1: https://newsroom.1und1.de/2020/11/11/urteil-im-verfahren-von-11-gegen-datenschutzbehoerde-gericht-reduziert-bussgeld-um-90-prozent/