Fragen? Antworten! Siehe auch: Alternativlos
Der Telekommunikationsdienstleister, zu deren Töchtern etwa die Mail-Anbieter Web.de und GMX gehören, hatte Kelber zufolge "keine hinreichenden technisch-organisatorischen Maßnahmen" zum Schutz von Kundendaten ergriffen.Ein Muster glaube ich erkennen zu können: Es geht nicht darum, Incidents zu bestrafen, also wenn was wegkommt, sondern es geht um schlechte Praktiken. Insbesondere geht es um schlechte Praktiken, wenn derjenige wusste, dass er Mist macht. Das erste Mal gibt es eine Verwarnung, dann gibt man ein bisschen Seil, und wer die Zeit nicht nutzt, der wird mit dem Seil erhenkt.
Wobei sich dieser Fall eher wie ein Gegenbeispiel dazu liest.
Nachdem die Instanz die ausgemachten Mängel angemahnt, zeigte sich 1&1 Kelber zufolge "einsichtig und äußerst kooperativ. In einem ersten Schritt habe der zu Drillisch gehörende Konzern zunächst den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. Ferner werde derzeit nach Absprache mit der Aufsicht "ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt".Die wurden also verwarnt und haben sofort reagiert aber haben dann trotzdem die Millionenstrafe reingedrückt gekriegt. Das bringt auch den Kelber ein bisschen in Erklärungsnot, aus der er sich wie folgt herauszuargumentieren versucht:
Trotz der raschen Anpassungen hielt Kelber es für geboten, die millionenschwere Geldbuße zu verhängen. Der Verstoß habe ein Risiko für den gesamten Kundenbestand dargestellt, begründet der Experte den Schritt. Die Höhe der Strafe bewege sich aufgrund des kooperativen Verhaltens von 1&1 im unteren Bereich des möglichen Bußgeldrahmens.Ich hoffe mal, dass der Kelber da noch zurückrudert. Wo das DSGVO-Regime bisher wie eine sinnvolle Maßnahme zum Setzen von Anreizen und zum gemeinsamen Besserwerden aussah, kriegt es durch diese Strafe eher den Anstrich einer Willkür-Selbstbereicherungs-Profitcenter-Behörde. Gut, vielleicht zahlt 1&1 das auch mal eben aus der Portokasse. Dennoch riecht das meiner Ansicht nach so, als wollte ein Behördenleiter mal eben das Signal verbreiten, dass seine Behörde mehr als nur ein Parkplatz für anderswo zu inkompetente Sesselfurzer ist. Wen die Millionenstrafe konkret trifft, das war dann auch eher zweitrangig.
Update: 1&1 klagt gegen den Bußgeldbescheid. Finde ich in Ordnung. Mit der Aktion hat der Kelber glaube ich das Amt beschädigt.