Ich hatte die Meldung zunächst mal ohne jeden eigenen Kommentar verlinkt, nachdem ich sie selbst recht zeitnah bei heise.de gelesen hatte - schon die Kürze der Zeit ließ keinen Raum für das Forumulieren(!) eigener Ansichten.
Ich habe auch gelesen, daß 1&1 sich auf die Mahnungen des Bundesdatenschutzbeauftragten hin "einsichtig und kooperativ" verhalten habe (das Update des Artikels kam dann ja auch erst 40 Minuten später) ... nur sollte man m.E. auch gerade bei den Firmen, die sich mit solchen Technologien auch auskennen müßten, eben deutlich höhere Maßstäbe anlegen und eigentlich auch erwarten können, daß diese Firmen von alleine auf die Tatsache aufmerksam werden, daß seit dem 25.05.2018 die Übergangsphase für die Umsetzung der DSGVO abgelaufen ist und sie müssen sich auch die Frage gefallen lassen, warum sie in den zwei Jahren, die seit dem Inkraftreten am 25.05.2016 verstrichen waren, nichts (Sichtbares und Wirkungsvolles) unternahmen.
Insofern finde ich persönlich es jetzt nicht sooo unverhältnismäßig, DASS 1&1 hier mit einem Bußgeld belegt wurde ... und die Höhe der Bußgelder ist durch die Datenschutzaufsichtsbehörden einigermaßen klar geregelt:
https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf
Die Tatsache, daß 1&1 wohl zu den Unternehmen mit mehr als 500 Mio. EUR Jahresumsatz gehört (mithin zur Klasse der "Großunternehmen" in D.VII - alleine der EBIT lag 2018 jenseits der 500 Mio. EUR:
https://www.united-internet.de/uploads/tx_unitedinternetpublication/United_Internet_Konzern_2018.pdf - ab Seite 29) und man es dort trotzdem nicht geschafft hat, rechtzeitig einen DSGVO-konformen Umgang mit den Kundendaten umzusetzen (und Art. 32 DSGVO fordert eben auch
organisatorische Maßnahmen und nicht nur technische), führt jetzt am Ende zu einem Bußgeld, das vielen unverhältnismäßig erscheinen mag (auch wenn es der Meldung nach am unteren Ende der möglichen Spanne liegt) ... nur ist das nun einmal der wichtigste Zweck, den ein solches Bußgeld auch entfalten soll.
Wie wollte man denn einen "Tagessatz" für den Umsatz eines Unternehmens festlegen (meinetwegen auch nur für den Gewinn) und wieviele solcher Tagessätze wären angesichts der Versäumnisse wohl angemessen? Ausgehend von > 500 Mio. EUR EBIT wären die kolportierten 9,55 Mio. EUR wohl irgendetwas in der Gegend von 6-7 Tagessätzen ... eher "witzig" bzw. "symbolisch" in anderen Zusammenhängen und nun kann man ja mal raten, wie sich 20.000 EUR (oder ähnliches) für einen solchen Konzern als "Bußgeld" anhören - wer will, kann das ja mal mit den von der BNetzA verhängten Bußgeldern (und deren Wirkung bei den Betroffenen) vergleichen:
https://www.bundesnetzagentur.de/DE...ung/massnahmenliste/massnahmenliste-node.html
Wenn es sich am Ende nur um Beträge handeln würde, die so ein Konzern aus der Portokasse bezahlt und sich damit auch nach der Verhängung eines solchen Bußgeldes nichts ändert oder dieses gar als "zahnloser Tiger" daherkommt und so den anderen, potentiell bußgeldbedrohten Unternehmen nur signalisiert: "Die können ohnehin nichts machen, plant einfach solche Ausgaben bei Euch mit ein und macht ansonsten weiter wie bisher, ist allemal billiger als ein wirksamer Datenschutz.", dann brächte die DSGVO gar nichts ... weder den Betroffenen, noch den vielen anderen Unternehmen, die sich nach Kräften bemühen, sich an deren Regelungen zu halten (wobei viele von denen auch erst durch die DSGVO überhaupt dazu "gezwungen wurden", sich mal einen Überblick zu verschaffen, wo und wie (sicher) sie eigentlich die Daten ihrer Kunden (und das sind i.d.R. wir alle) speichern).
Wenn ich mir in Erinnerung rufe, an wievielen Hotlines ich mich schon darüber mockiert habe, daß eine "Identifikation" eines Kunden nur über dessen Vor- und Nachnamen und das Geburtsdatum erfolgt (das sind alles Angaben, die zu besorgen bei vielen Leuten keine wirkliche Kunst ist, erst recht, wenn man die aus dem "real life" - von Arbeitskollegen bis zu irgendwelchen Vereinen - kennt und nicht nur "unter Synonym", wie es häufig im Internet der Fall ist), dann sind solche Fälle von "Informationsdiebstahl" quasi vorprogrammiert.
Wenn Anbieter A jedem Dussel vor dem Support-Terminal genau diese Informationen anzeigt (das Geburtsdatum bräuchte es dort gar nicht, eine "Kundennummer" oder ähnliches wäre viel sinnvoller - auch die gerne abgefragte "Kontonummer" für irgendwelche SEPA-Lastschriften dürfte einem "normalen" Supporter gar nicht angezeigt werden, solange es nicht um Rechnungen und Abbuchungen geht) und Anbieter B genau dieselben Infos "abfragt" für die Identifikation des Kunden, dann ist dem Mißbrauch Tür und Tor geöffnet. Wer die Arbeitsbedingungen und die Bezahlung in solchen "Call-Centern" kennt, an die auch große Unternehmen gerne mal den Support außerhalb der "Kernzeiten" auslagern, der versteht irgendwann auch, warum "Datensparsamkeit" im Kundensupport genauso wichtig ist, wie im Umgang mit Google, Facebook und anderen "Datenkraken".
Nur haben sich die Unternehmen bisher i.d.R. gar keine Gedanken darüber gemacht, mit wem sie diese Daten alles teilen (auch wenn das "Datenverarbeitung im Auftrag" (Art. 28 DSGVO) ist, bleiben die Unternehmen ggü. dem eigenen Kunden in der Pflicht) und da kann es in meinen Augen nicht wirklich schaden, wenn hier mal einem der "Großen" (bei dem Jahresumsatz gehört 1&1 (bzw. United Internet) schon zu den größeren "Playern" in D) ein Schuß vor den Bug verpaßt wird - obendrein ja wohl noch auf Basis eines konkreten Falls bzw. einer konkreten Beschwerde nach eingetretenem Schaden.
Ich habe zwar schon ein halbes Jahr nicht mehr mit dem Kundensupport meines Internet-Anbieters telefonieren müssen ... aber wenn ich mich nicht wahnsinnig irre, gab es auch bei diesem einen ähnlichen Ablauf der "Identifikation" des Kunden ... Name, Vorname, Geburtsdatum. Nur ist das eben vollkommen unzureichend ... nicht einmal die zusätzliche Abfrage der Wohnanschrift stellt sicher, daß es sich tatsächlich um den jeweiligen Kunden handelt, denn diese Info kann auch der Nachbar i.d.R. leicht ermitteln.
Will/muß man sich dann noch deshalb beschweren, weil die eigene Internet-Verbindung wieder mal ausgefallen ist (und damit heutzutage auch das Festnetz-Telefon), wird man auch selten "automatisch" erkannt bei seinem Anruf ... erst recht nicht dann, wenn man die eigene Rufnummer bei solchen Telefonaten schon mal prinzipiell unterdrückt, weil man die (durchaus gängige) Praxis kennt, daß bei solch einem Anruf dann auch schnell mal diese Nummer dauerhaft gespeichert wird und zwar auch in Verknüpfung mit dem jeweiligen Kundenkonto.
Ich sehe ja ein, daß das alles im Kontext einer Telefon-Hotline nicht so einfach zu lösen ist ... nur was ist eigentlich aus den guten alten "Kundenpasswörtern" geworden, die bei den Mobilfunkanbietern Telekom und Vodafone einst gang und gäbe waren und schon beim Vertragsabschluß (zumindest als "Ausgangswert") niedergeschrieben wurden? Solche (nun wirklich auch simplen) Möglichkeiten haben die Unternehmen nach und nach zugunsten der eigenen Bequemlichkeit fallengelassen (es ist auch nicht besonders schlau, solche Infos an "externe Dienstleister" herauszugeben - dann muß man sich eben eigene Call-Center leisten und die Kunden werden es einem meist auch noch danken) und wenn sie jetzt die Quittung dafür erhalten, wenn sich aus ihrer "Kostenvermeidung" Probleme beim Schutz der Kundendaten ergeben, dann ist das in meinen Augen "nur gerecht". Wer Sicherheit nicht als "Produktmerkmal" begreift, sondern nur den Kostenfaktor dabei sieht, der soll bei Verstößen auch so bluten, daß es bei ihm Eindruck hinterläßt.
Insofern kann ich mich der Hoffnung, daß Entscheidungsträger in den Firmen dieses Signal verstehen (es ist ja auch nicht nur 1&1, das (Berliner) Bußgeld für die "Deutsche Wohnen" hat ja auch bundesweit Schlagzeilen gemacht) und erkennen, daß Datenschutz (zumindest der Kundendaten) auch Kundenschutz ist und daß sie eine Verantwortung tragen.
Wenn ich mir ansehe, was in jüngster Zeit bei einer von mir verwendeten E-Mail-Adresse so an Spam-Mails aufläuft, dann kann und muß ich auch davon ausgehen, daß die Firma, bei der ich diese Adresse verwendet habe (ich habe "Wildcard-Adressen" im Postfix und kann daher ziemlich genau sagen, um welche Firma es sich dabei handelt), entweder einen unerwarteten Datenreichtum hatte (bei dem ein anderer den "Überfluß" entgegengenommen und gut verwahrt hat) oder es mit der Sicherheit der Kundendaten generell nicht so eng gesehen wird.
Von einer "Datenschutz-Panne" habe ich bei diesem Unternehmen nichts gelesen ... wobei das auch nichts heißen muß. Nur kann ich eben den Mail-Empfang für diese eine Adresse einfach einstellen ... das können viele andere nicht und schon anhand so eines eher "unbedeutenden" Datums wie einer E-Mail-Adresse zeigt es sich dann eben auch, welche (oft unangenehmen) Auswirkungen die Datenschutzverstöße von Unternehmen haben können (und eine E-Mail-Adresse ist lt. DSGVO eindeutig personenbezogen - die Besonderheit von "Adressen für bestimmte Rollen" regelt die DSGVO nicht gesondert).
Wie sieht das erst aus, wenn man mit dem Nachbarn im Clinch liegt und er dann einfach mal (in fremdem Namen) irgendwelche Dummheiten in die Wege leitet? Das geht (bleiben wir mal bei Vodafone als Beispiel) bis zur Meldung einer Störung des Internet-Zugangs, die der Techniker dann erst mal mit dem Zurücksetzen des Routers auf die Werkseinstellungen beheben will (oder soll) ... schwups sind die eigenen Einstellungen im (Provider-)Router wieder weg und der Besitzer des Anschlusses hat keinen Schimmer, warum und wieso das jetzt wieder passiert ist.
Da könnte man dann nur sagen: "Mit einem Kundenkennwort wäre das nicht passiert." ... es gibt ja auch Gründe, warum z.B. ein Wachdienst mit seinen Kunden solche "Geheimnisse" vereinbart und nicht einfach der Ansicht ist, daß derjenige, der beim Alarm dort im Haus ans Telefon geht, schon der Zutrittsberechtigte sein wird und wenn der dann versichert, es wäre alles in Ordnung, hat sich die Sache erledigt.
Wenn dann ein Kunde wirklich mal sein eigenes Kundenkennwort vergißt (man sollte als Kunde dann natürlich auch nicht überall dasselbe verwenden, auch wenn das immer noch vor dem streitsüchtigen Nachbarn schützt), dann muß man eben etwas genauer (und damit auch zeitintensiver) erkunden, ob es tatsächlich der Richtige am anderen Ende ist oder nicht. Es muß also gar nicht zwingend eine technische Lösung her (die "Service-PIN" von 1&1 ist sicherlich am Ende auch nur eine solche organisatorische Maßnahme) ... erst recht nicht gleich FIDO2. Auch wenn das Potential hat, geht es ja doch eher um heute schon alltagstaugliche Lösungen und schon die Frage, wieviele "Berechtigte" es am Ende für eine solche Aktion (wie den Anruf einer Service-Hotline) geben muß/soll, macht irgendein "Security-Token" zu einem Merkmal, das (im Gegensatz zu einem nicht hardware-gestützten Geheimnis wie einer PIN) mit der Zahl der handelnden Personen auch den finanziellen Aufwand linear steigen läßt.
Und auch wenn das Smartphone (zumindest mit Android - Apple versteht unter FIDO(2) wohl nicht "Fast IDentity Online", sondern immer noch den Hund von Tom Jennings) als "Token" dienen kann ... erstens braucht das m.W. einen Fingerabdruck-Scanner und zweitens hat tatsächlich nicht jeder (erst recht nicht, wenn er > 70 Jahre alt ist und/oder in seinem Leben mit diesen Themen nie nachhaltig konfrontiert wurde) ein Smartphone (auch wenn viele das nicht glauben wollen).
Ich beobachte zwar auch die Entwicklung bei "WebAuthn" mit Interesse ... aber das taugt eben auch nicht "für alle Lebenslagen" und auch nicht "für alle Kunden". Wobei es i.d.R. auch selten um die Sicherheit bei irgendwelchen Web-Anmeldungen geht (auch wenn ein einzelnes, gehacktes Postfach da schon der GAU sein kann, so wie das heutzutage meist umgesetzt ist) ... das kann man mit Benutzername/Kennwort auch nicht sooo falsch machen. Viel häufiger kommen eben Daten durch "social engineering" abhanden, wo dann der Mensch (auch am anderen Ende im Call-Center) die Schwachstelle ist und der kann man nur mit "Datensparsamkeit" (auch im Hinblick darauf, was da wer zu sehen kriegt, selbst wenn unterschiedliche "Masken" höhere Kosten bedeuten) und durchdachten, vorgeschriebenen Abläufen beikommen.
Genau da greift ja die 1&1-Service-PIN auch an, wenn man der Beschreibung folgt:
https://hilfe-center.1und1.de/vertr...-1und1-service-pin-und-vollmacht-a797796.html - nur finde ich es einigermaßen mutig, wenn 1&1 dann behauptet: "als eines der ersten Unternehmen seiner Branche". Denn am Ende ist so eine Service-PIN auch nichts anderes (und schwerer zu merken, wobei man sie ja wohl ändern kann), als ein Kundenkennwort, wie es bei T-Mobile und Vodafone schon früher Usus war.
