德国一家上诉法院将一家电信服务提供商因违反GDPR而被处以的955万欧元罚款降至仅90万欧元。

去年12月，联邦数据保护和信息自由专员(BfDI)向1&1电信公司开出了最初的955万欧元罚单，原因是人们拨打该公司的客户服务热线，仅仅提供客户的姓名和出生日期，就可以获取他人的个人信息。

一名客户发起了一场有关跟踪的刑事诉讼。该客户的前女友通过电信服务提供商的呼叫中心寻求其新电话号码，并告诉客服说自己是他的妻子（假装）。该公司仅要求她提供客户的姓名和生日以获取电话号码。然后其前女友开始使用该号码骚扰他。

当时，BfDI表示该违规行为“对整个客户群构成了风险”。

但是，波恩地方法院现已裁定，尽管对罚款1＆1的决定是合理的，但这一决定“高得不合理”。

法院表示，尽管未经授权的呼叫者可以仅通过全名和出生日期获取电话号码等数据，但“个人连接证书、流量数据或账户连接”等敏感数据无法通过这种方式获取。

“这只是轻微的数据泄露。法院说，这不会导致将数据大量被移交给未经授权的人。”

Pinsent Masons的数据保护法律专家Ruth Maria Bousonville在博客中将上诉法院的裁决描述为在德国实施GDPR的“里程碑”。

Bousonville说：“它结合了GDPR还需要考虑的其他各种情况——即侵权的严重性，来规定罚款的劝阻性。”

“德国数据保护部门目前正在制定一项修订后的新罚款方案。看到他们如何考虑在裁决中具有决定性意义的论点，将会很有启发。”

罚款的减少受到1＆1的欢迎。

数据保护官Julia Zirfas表示：“这是一个明确的信号，原来955万欧元的罚款与目前的个案毫无关系。不过，修改后的罚金数额也相当可观。因此，我们保留在对裁决进行详细审查后采取进一步法律措施的权利。”

（本文出自SCA安全通信联盟，转载请注明出处。）