{"id":56676,"date":"2021-01-14T07:19:44","date_gmt":"2021-01-14T05:19:44","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=56676"},"modified":"2021-01-12T22:20:05","modified_gmt":"2021-01-12T20:20:05","slug":"lg-bonn-zu-11-900-000-euro-bussgeld-wegen-dsgvo-verstoss","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/lg-bonn-zu-11-900-000-euro-bussgeld-wegen-dsgvo-verstoss\/","title":{"rendered":"LG Bonn zu 1&1: 900.000 Euro Bu\u00dfgeld wegen DSGVO-Versto\u00df"},"content":{"rendered":"
\"1&1
Photo by Hack Capital on Unsplash<\/figcaption><\/figure>\n

In einem Urteil vom 11.11.2020 entschied das Landgericht Bonn, dass der Telekommunikationsanbieter 1&1 ein Bu\u00dfgeld in H\u00f6he von 900.000 Euro wegen eines Versto\u00dfes gegen die DSGVO<\/a> zahlen muss. <\/em><\/p>\n

Damit entschied das Landgericht Bonn als erstes deutsches Gericht \u00fcber die Forderung eines Bu\u00dfgeldes in Millionenh\u00f6he wegen eines Datenschutzversto\u00dfes und bezog mit seinem Urteil Stellung zu wesentlichen Grundsatzfragen zu den Bu\u00dfgeldvorschriften der DSGVO. <\/em><\/p>\n

Mit dieser Entscheidung kam der Telekommunikationsanbieter 1&1 glimpflich davon, da dieser anstatt der urspr\u00fcnglichen Forderung von 9,6 Millionen Euro Bu\u00dfgeld nur einen Bruchteil davon zahlen muss.<\/em><\/p>\n

Herausgabe von pers\u00f6nlichen Daten an Nachstellerin durch 1&1-Mitarbeiter<\/h2>\n

Die Urteilsverk\u00fcndung der Bonner Richter wurde mit Spannung erwartet. Ausl\u00f6ser des Rechtsstreits war ein gegen den Telekommunikationsanbieter 1&1 Telecom GmbH ergangener Bu\u00dfgeldbescheid in H\u00f6he von 9,6 Millionen Euro. Dieses Millionenbu\u00dfgeld hatte der Bundesbeauftragte f\u00fcr Datenschutz Ende des Jahres 2019 gegen den Telekommunikationsanbieter verh\u00e4ngt, welcher als Bundesbeh\u00f6rde Telekommunikationsunternehmen in Angelegenheiten des Datenschutzes \u00fcberwacht und kontrolliert.<\/p>\n

Dagegen legte 1&1 gerichtliche Schritte ein – teils mit Erfolg. Das Gericht entschied, dass das Bu\u00dfgeld gegen den Telekommunikationsdienstleister zwar rechtens, aber gleichzeitig zu hoch sei, weshalb es dieses auf 900.000 Euro herabsetzte (LG Bonn, Urteil v. 11.11.2020, Az. 29 OWi 1\/20<\/a>).<\/p>\n

Folgender Sachverhalt gab dem Bundesbeauftragten f\u00fcr Datenschutz<\/a> Anlass zur Verh\u00e4ngung des Bu\u00dfgeldes:<\/p>\n

Im Jahr 2018 rief eine Frau bei der 1&1-Hotline an und bat um die \u00dcbermittlung der neuen Handynummer ihres Ex-Mannes. Dabei nannte die Frau lediglich den Namen sowie das Geburtsdatum ihres Ex-Mannes und bekam daraufhin die neue Handynummer vom Callcenter-Agenten mitgeteilt. Dieses Authentifizierungsverfahren sah der Bundesbeauftragte f\u00fcr Datenschutz als einen grob fahrl\u00e4ssigen Versto\u00df gegen die Vorschrift des Art. 32 DSGVO<\/a>, wonach Unternehmen zum systematischen Schutz der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Ma\u00dfnahmen treffen m\u00fcssen. Daher verh\u00e4ngte er das Bu\u00dfgeld in Millionenh\u00f6he.<\/p>\n

Millionenbu\u00dfgeld unangemessen hoch<\/h2>\n

Gegen dieses Bu\u00dfgeld<\/a> zog das Unternehmen 1&1 mit dem Argument, der Betrag des Bu\u00dfgeldes in H\u00f6he von 9,6 Millionen Euro sei unverh\u00e4ltnism\u00e4\u00dfig hoch, vor Gericht. Dem stimmten die Bonner Richter zu. Der Telekommunikationsdienstleister habe gegen die Vorschrift des Art. 32 DSGVO<\/a> versto\u00dfen,<\/p>\n

\u201e\u2026 indem sie es im Regelfall in ihren Callcentern ausreichen lie\u00df, dass durch die Callcenter-Agenten zur Authentifizierung des Anrufers Name und Geburtsdatum abgefragt wurden. Dies gen\u00fcgte sogar, wenn erkennbar nicht der Kunde selbst, sondern ein Dritter f\u00fcr diesen anrief.\u201c<\/p><\/blockquote>\n

Damit befand das Gericht, dass ein Versto\u00df gegen Art. 32 DSGVO<\/a> zwar vorliege. Dabei handele es sich jedoch um einen geringen Versto\u00df, welcher nicht zu \u201eeiner massenhaften Herausgabe von Daten an Nichtberechtigte\u201c gef\u00fchrt habe. Zudem sei zugunsten des Unternehmens zu beachten, dass der Datenschutzversto\u00df durch 1&1 ein Einzelfall gewesen sei und die vom Unternehmen \u00fcber Jahre ausge\u00fcbte streitgegenst\u00e4ndliche Authentifizierungspraxis bis zu dem Bu\u00dfgeld in Millionenh\u00f6he nie beanstandet wurde. Dar\u00fcber hinaus gebe es f\u00fcr Callcenter keine verbindlichen Vorgaben hinsichtlich der Durchf\u00fchrung ihrer Authentifizierungsverfahren.<\/p>\n

Verh\u00e4ltnis DSGVO und OWiG – Zurechnung des Fehlverhaltens von Mitarbeitern<\/h2>\n

Die neunte Kammer des Gerichts musste zudem die Frage kl\u00e4ren, ob der von einem Callcenter-Mitarbeiter begangene Datenschutzversto\u00df dem Telekommunikationsanbieter 1&1 \u00fcberhaupt zuzurechnen war. Diesbez\u00fcglich enthalte die DSGVO keine Vorschriften, allerdings sei nach \u00a7 41<\/a> Bundesdatenschutzgesetz (BDSG) das Gesetz \u00fcber Ordnungswidrigkeiten (OWiG) auf Bu\u00dfgelder nach der DSGVO entsprechend anzuwenden.<\/p>\n

Nach dem OWiG sind Bu\u00dfgelder gegen Unternehmen wegen einer Zurechnung des Verhaltens der Mitarbeiter nur dann zul\u00e4ssig, wenn eine nat\u00fcrliche Person aus der Unternehmensleitung selbst einen Versto\u00df gegen den Datenschutz begangen oder \u00dcberwachungs- und Aufsichtspflichten verletzt hat und ihr Handeln gleichzeitig fahrl\u00e4ssig oder vors\u00e4tzlich herbeigef\u00fchrt worden ist. Der Umstand allein, dass ein Versto\u00df gegen den Datenschutz festgestellt wurde, gen\u00fcgt nicht, um einen solchen nach dem OWiG zu bestrafen.<\/p>\n

Kl\u00e4rungsbed\u00fcrftig war somit die Frage, ob das Bonner Landgericht die Zurechnungskriterien des OWiG heranziehen oder doch auf den offenen Wortlaut der DSGVO abstellen w\u00fcrde.<\/p>\n

Die Kammer erw\u00e4hnte zwar, dass<\/p>\n

\u201e\u2026 das deutsche Sanktionsrecht eine solche unmittelbare Haftung von Unternehmen bislang nicht kenne\u201c,<\/p><\/blockquote>\n

stellte jedoch gleichwohl auf den offenen Wortlaut der DSGVO ab, welcher im Gegensatz zum OWiG keine Vorschrift zur Zurechnung enthalte.<\/p>\n

Zudem befand das Gericht, dass das anwendbare europ\u00e4ische Recht keine konkrete Feststellung dar\u00fcber, dass eine Leitungsperson des Unternehmens gegen Regelungen versto\u00dfen hat, zur Verh\u00e4ngung eines Bu\u00dfgeldes verlange. Denn in der Regel haften Unternehmen f\u00fcr Verst\u00f6\u00dfe oder Fehlverhalten von Mitarbeitern, die dem Unternehmen auch zugerechnet werden k\u00f6nnen.<\/p>\n

Vorsicht geboten: DSGVO-Verst\u00f6\u00dfe k\u00f6nnen ganz sch\u00f6n teuer sein\u2026<\/h2>\n

Aus der DSGVO und dem BDSG ergeben sich etliche Pflichten f\u00fcr jeden Unternehmer und jedes Unternehmen, v\u00f6llig ungeachtet der Gr\u00f6\u00dfe und Mitarbeiterzahl. Datenschutzverst\u00f6\u00dfe k\u00f6nnen \u2013 wie der vorliegende Fall verdeutlicht \u2013 nach der DSGVO mit sehr hohen Bu\u00dfgeldern geahndet werden. Es k\u00f6nnen Bu\u00dfgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes und andere Sanktionen drohen.<\/p>\n

Um solche Sanktionen und Bu\u00dfgelder zu vermeiden, ist es f\u00fcr jedes Unternehmen unabdingbar, sich datenschutzkonform zu verhalten und sich bez\u00fcglich eines Datenschutzkonzepts sowie der datenschutzrechtlichen Pflichten rechtlich beraten zu lassen.<\/p>\n

\u00dcbrigens hat der Telekommunikationsdienstleister 1&1 mittlerweile das Authentifizierungsverfahren bei einem Anruf im Callcenter insoweit ge\u00e4ndert, dass man sich bei einem Anruf mittels einer Telefon-PIN identifizieren muss.<\/p>\n","protected":false},"excerpt":{"rendered":"

In einem Urteil vom 11.11.2020 entschied das Landgericht Bonn, dass der Telekommunikationsanbieter 1&1 ein Bu\u00dfgeld in H\u00f6he von 900.000 Euro wegen eines Versto\u00dfes gegen die DSGVO zahlen muss. Damit entschied das Landgericht Bonn als erstes deutsches Gericht \u00fcber die Forderung eines Bu\u00dfgeldes in Millionenh\u00f6he wegen eines Datenschutzversto\u00dfes und bezog mit seinem Urteil Stellung zu wesentlichen […]<\/p>\n","protected":false},"author":82,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[8],"tags":[142,18895],"class_list":["post-56676","post","type-post","status-publish","format-standard","hentry","category-datenschutzrecht","tag-datenschutz","tag-dsgvo-bussgeld","topic_category-datenschutzrecht"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/56676","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/82"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=56676"}],"version-history":[{"count":0,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/56676\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=56676"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=56676"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=56676"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}