Résumé original des amendes: Le contrôleur est une entreprise offrant des services de télécommunication. Un appelant peut obtenir des informations détaillées sur les données personnelles des clients auprès du service clientèle de l'entreprise en saisissant simplement le nom et la date de naissance d'un client. Dans cette procédure d'authentification, le BfDI enfreint l'article 32 du RGPD, selon lequel une entreprise est tenue de prendre les mesures techniques et organisationnelles appropriées pour protéger systématiquement le traitement des données personnelles. En raison de la coopération de l'entreprise avec l'autorité de protection des données, l'amende infligée se situait au bas de l'échelle. - Mise à jour: Le 11 novembre 2020, après un appel contre l'amende, le tribunal de district de Bonn a décidé que bien que l'amende soit justifiée en principe, elle est déraisonnablement élevée. La chambre a donc réduit l'amende de 9,55 millions d'euros à l'origine à 900 000 euros. L'une des raisons de la réduction était que la procédure d'authentification des clients utilisée par l'entreprise pour sa hotline téléphonique (ne demandant que le nom et la date de naissance de l'appelant) était restée longtemps sans opposition et que, par conséquent, l'entreprise n'avait pas une connaissance concrète de la problème qui conduit au fait que la culpabilité concrète dans ce cas devait être qualifiée d'assez faible. En outre, selon le tribunal, la violation était également plutôt mineure, car elle ne pouvait pas conduire à une fuite massive de données.