LG Bonn zu 1&1: 900.000 Euro Bußgeld wegen DSGVO-Verstoß

In einem Urteil vom 11.11.2020 entschied das Landgericht Bonn, dass der Telekommunikationsanbieter 1&1 ein Bußgeld in Höhe von 900.000 Euro wegen eines Verstoßes gegen die DSGVO zahlen muss.

Damit entschied das Landgericht Bonn als erstes deutsches Gericht über die Forderung eines Bußgeldes in Millionenhöhe wegen eines Datenschutzverstoßes und bezog mit seinem Urteil Stellung zu wesentlichen Grundsatzfragen zu den Bußgeldvorschriften der DSGVO.

Mit dieser Entscheidung kam der Telekommunikationsanbieter 1&1 glimpflich davon, da dieser anstatt der ursprünglichen Forderung von 9,6 Millionen Euro Bußgeld nur einen Bruchteil davon zahlen muss.

Herausgabe von persönlichen Daten an Nachstellerin durch 1&1-Mitarbeiter

Die Urteilsverkündung der Bonner Richter wurde mit Spannung erwartet. Auslöser des Rechtsstreits war ein gegen den Telekommunikationsanbieter 1&1 Telecom GmbH ergangener Bußgeldbescheid in Höhe von 9,6 Millionen Euro. Dieses Millionenbußgeld hatte der Bundesbeauftragte für Datenschutz Ende des Jahres 2019 gegen den Telekommunikationsanbieter verhängt, welcher als Bundesbehörde Telekommunikationsunternehmen in Angelegenheiten des Datenschutzes überwacht und kontrolliert.

Dagegen legte 1&1 gerichtliche Schritte ein – teils mit Erfolg. Das Gericht entschied, dass das Bußgeld gegen den Telekommunikationsdienstleister zwar rechtens, aber gleichzeitig zu hoch sei, weshalb es dieses auf 900.000 Euro herabsetzte (LG Bonn, Urteil v. 11.11.2020, Az. 29 OWi 1/20).

Folgender Sachverhalt gab dem Bundesbeauftragten für Datenschutz Anlass zur Verhängung des Bußgeldes:

Im Jahr 2018 rief eine Frau bei der 1&1-Hotline an und bat um die Übermittlung der neuen Handynummer ihres Ex-Mannes. Dabei nannte die Frau lediglich den Namen sowie das Geburtsdatum ihres Ex-Mannes und bekam daraufhin die neue Handynummer vom Callcenter-Agenten mitgeteilt. Dieses Authentifizierungsverfahren sah der Bundesbeauftragte für Datenschutz als einen grob fahrlässigen Verstoß gegen die Vorschrift des Art. 32 DSGVO, wonach Unternehmen zum systematischen Schutz der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen treffen müssen. Daher verhängte er das Bußgeld in Millionenhöhe.

Millionenbußgeld unangemessen hoch

Gegen dieses Bußgeld zog das Unternehmen 1&1 mit dem Argument, der Betrag des Bußgeldes in Höhe von 9,6 Millionen Euro sei unverhältnismäßig hoch, vor Gericht. Dem stimmten die Bonner Richter zu. Der Telekommunikationsdienstleister habe gegen die Vorschrift des Art. 32 DSGVO verstoßen,

„… indem sie es im Regelfall in ihren Callcentern ausreichen ließ, dass durch die Callcenter-Agenten zur Authentifizierung des Anrufers Name und Geburtsdatum abgefragt wurden. Dies genügte sogar, wenn erkennbar nicht der Kunde selbst, sondern ein Dritter für diesen anrief.“

Damit befand das Gericht, dass ein Verstoß gegen Art. 32 DSGVO zwar vorliege. Dabei handele es sich jedoch um einen geringen Verstoß, welcher nicht zu „einer massenhaften Herausgabe von Daten an Nichtberechtigte“ geführt habe. Zudem sei zugunsten des Unternehmens zu beachten, dass der Datenschutzverstoß durch 1&1 ein Einzelfall gewesen sei und die vom Unternehmen über Jahre ausgeübte streitgegenständliche Authentifizierungspraxis bis zu dem Bußgeld in Millionenhöhe nie beanstandet wurde. Darüber hinaus gebe es für Callcenter keine verbindlichen Vorgaben hinsichtlich der Durchführung ihrer Authentifizierungsverfahren.

Verhältnis DSGVO und OWiG – Zurechnung des Fehlverhaltens von Mitarbeitern

Die neunte Kammer des Gerichts musste zudem die Frage klären, ob der von einem Callcenter-Mitarbeiter begangene Datenschutzverstoß dem Telekommunikationsanbieter 1&1 überhaupt zuzurechnen war. Diesbezüglich enthalte die DSGVO keine Vorschriften, allerdings sei nach § 41 Bundesdatenschutzgesetz (BDSG) das Gesetz über Ordnungswidrigkeiten (OWiG) auf Bußgelder nach der DSGVO entsprechend anzuwenden.

Nach dem OWiG sind Bußgelder gegen Unternehmen wegen einer Zurechnung des Verhaltens der Mitarbeiter nur dann zulässig, wenn eine natürliche Person aus der Unternehmensleitung selbst einen Verstoß gegen den Datenschutz begangen oder Überwachungs- und Aufsichtspflichten verletzt hat und ihr Handeln gleichzeitig fahrlässig oder vorsätzlich herbeigeführt worden ist. Der Umstand allein, dass ein Verstoß gegen den Datenschutz festgestellt wurde, genügt nicht, um einen solchen nach dem OWiG zu bestrafen.

Klärungsbedürftig war somit die Frage, ob das Bonner Landgericht die Zurechnungskriterien des OWiG heranziehen oder doch auf den offenen Wortlaut der DSGVO abstellen würde.

Die Kammer erwähnte zwar, dass

„… das deutsche Sanktionsrecht eine solche unmittelbare Haftung von Unternehmen bislang nicht kenne“,

stellte jedoch gleichwohl auf den offenen Wortlaut der DSGVO ab, welcher im Gegensatz zum OWiG keine Vorschrift zur Zurechnung enthalte.

Zudem befand das Gericht, dass das anwendbare europäische Recht keine konkrete Feststellung darüber, dass eine Leitungsperson des Unternehmens gegen Regelungen verstoßen hat, zur Verhängung eines Bußgeldes verlange. Denn in der Regel haften Unternehmen für Verstöße oder Fehlverhalten von Mitarbeitern, die dem Unternehmen auch zugerechnet werden können.

Vorsicht geboten: DSGVO-Verstöße können ganz schön teuer sein…

Aus der DSGVO und dem BDSG ergeben sich etliche Pflichten für jeden Unternehmer und jedes Unternehmen, völlig ungeachtet der Größe und Mitarbeiterzahl. Datenschutzverstöße können – wie der vorliegende Fall verdeutlicht – nach der DSGVO mit sehr hohen Bußgeldern geahndet werden. Es können Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes und andere Sanktionen drohen.

Um solche Sanktionen und Bußgelder zu vermeiden, ist es für jedes Unternehmen unabdingbar, sich datenschutzkonform zu verhalten und sich bezüglich eines Datenschutzkonzepts sowie der datenschutzrechtlichen Pflichten rechtlich beraten zu lassen.

Übrigens hat der Telekommunikationsdienstleister 1&1 mittlerweile das Authentifizierungsverfahren bei einem Anruf im Callcenter insoweit geändert, dass man sich bei einem Anruf mittels einer Telefon-PIN identifizieren muss.