DSGVO: LG Bonn reduziert Millionenbußgeld gegen 1&1 auf 900.000 Euro

Das Landgericht Bonn hat am 11.11.2020 entschieden, dass das Bußgeld, das der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) gegen 1&1 aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) verhängt hat, dem Grunde nach berechtigt, aber unangemessen hoch sei.

Die Kammer hat das Bußgeld von ursprünglich 9,55 Millionen € daher auf 900.000 € herabgesetzt.

Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Expartners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.

Der BfDI verhängte deshalb im November 2019 gegen den Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen € wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufen keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.

Gegen diesen Bescheid hat der Telekommunikationsdienstleister Einspruch eingelegt, weshalb die Sache an fünf Hauptverhandlungstagen vor der neunten Kammer für Bußgeldsachen verhandelt wurde.

Landgericht bejaht Datenschutzverstoß dem Grunde nach

Die Kammer hat entschieden, dass die Verhängung eines Bußgeld gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.

In der Sache liege ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sogenannten Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie zum Beispiel die aktuelle Telefonnummer zu gelangen. Sensible Datensichtlich der Angemessenheit  des Schutzniveaus in einem Verbotsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern sei dieser Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.

Landgericht setzt Bußgeld auf ein Zehntel herab

Die Höhe des Bußgeldes hat die Kammer in ihrer Entscheidung auf 900.000 € herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an den notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigen, dass es sich – auch nach Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handele. Diese haben nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.

Quelle: Pressemitteilung vom 11.11.2020, Landgericht Bonn

Praxistipp:

Auch wenn das Landgericht das ursprüngliche Bußgeld in Höhe von ca. 9 Millionen € auf ein Zehntel dieses Betrags, nämlich auf 900.000 € herabgesetzt hat und dieser Umstand das betroffene Unternehmen natürlich freuen dürfte, besteht abgesehen davon kein sonderlich großer Grund zur Freude. Bei der Verarbeitung fremder Daten ist nach wie vor höchste Vorsicht geboten, und zwar nicht nur – wie die meisten bisherigen Fälle nahe legen – bei der automatisierten und digitalen Datenverarbeitung von Daten, sondern auch in Bereichen, in denen mit Daten manuell umgegangen wird.

Aufhorchen lässt der Hinweis des Landgerichts, dass bezüglich der Höhe des Bußgelds zu berücksichtigen gewesen sei, dass es sich nur um einen geringen Datenschutzverstoß gehandelt habe, der nicht zur massenhaften Herausgabe von Daten an nicht berechtigte habe führen können. Im Umkehrschluss kann daraus gefolgert werden, dass das Bußgeld um ein Vielfaches höher ausgefallen wäre, wären durch die beanstandete Praxis eine größere Zahl von Menschen betroffen gewesen, was bei der digitalen Datenverarbeitung immer eine Gefahr darstellt.