9 Mio. oder 900.000 Euro: LG Bonn entscheidet über Bußgeld für Datenschutzverstoß gegen 1&1

9
Download PDF
© BBH

Die Datenschutz-Grundverordnung (DS-GVO) ermöglicht bei Datenschutzverstößen Bußgelder in drastischer Höhe. Der Bundesbeauftragte für Datenschutz und Informationssicherheit hatte davon Gebrauch gemacht und gegen den Telekommunikationsdienstleister 1&1 ein Bußgeld in Höhe von 9,55 Mio. Euro verhängt. Am 11.11.2020 entschied (Urt. v. 11.11.2020, Az. 29 OWi 1/20 LG) nun das Landgericht (LG) Bonn darüber.

Was war passiert? Die ehemalige Lebensgefährtin eines Kunden hatte sich gegenüber dem Callcenter des Anbieters als dessen Ehefrau ausgegeben und so dessen neue Telefonnummer erhalten. In der Folge belästigte sie ihren ehemaligen Lebensgefährten, was zu einer Strafanzeige wegen Stalkings führte. Zur Legitimierung im Callcenter wurden lediglich Name und Geburtsdatum des Kunden abgefragt. Der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) sah darin einen Datenschutzverstoß. Das LG Bonn bestätigte diese Sicht, sah jedoch das vom BfDI verhängte Bußgeldes von 9,55 Mio. Euro als unangemessen hoch an.

Maßstab für die Höhe von Bußgeldern

Die Höhe eines Bußgeldes bei Datenschutzverstößen richtet sich nach Art. 83 DS-GVO. Danach müssen Bußgelder wirksam, verhältnismäßig und abschreckend sein. Bei der Entscheidung darüber, ob und in welcher Höhe eine Geldbuße verhängt werden soll, können unter anderem Art, Schwere und Dauer des Verstoßes Berücksichtigung finden. Auch das Ausmaß des erlittenen Schadens, vorsätzliches oder fahrlässiges Handeln und die Art der personenbezogenen Daten, die von dem Verstoß betroffen sind, können eine Rolle spielen. Je nach Art und Schwere des Verstoßes sieht die DS-GVO Bußgelder von bis zu 20 Mio. Euro oder 4 Prozent des weltweit erzielten Jahresumsatzes vor.

Der Fall Deutsche Wohnen SE ließ aufschrecken

Viel Beachtung fand vor etwa einem Jahr der Fall Deutsche Wohnen SE. Der Berliner Beauftragten für Datenschutz und Informationsfreiheit verhängte gegen den Immobilienkonzern ein Bußgeld in Höhe von 14,5 Mio. Euro (wir berichteten), da er personenbezogene Daten von Mietern langfristig gespeichert hatte, ohne die Zulässigkeit und Erforderlichkeit zu prüfen. Hier schöpfte die Aufsichtsbehörde den Bußgeldrahmen weitreichend und tatsächlich abschreckend aus.

Entschärfung in Sicht? Der Fall 1&1

Im Fall 1&1 hat das LG Bonn entschieden, dass das Bußgeld zwar dem Grunde nach, nicht aber in der Höhe berechtigt gewesen sei. Das Gericht setzte das Bußgeld auf 900.000 Euro herab.

Das LG Bonn sieht in der bloßen Abfrage von vollständigem Namen und Geburtsdatum eines Kunden keine geeignete Schutzmaßnahme gegen eine unberechtigte Herausgabe von Daten an einen Anrufer im Callcenter. Das Verschulden des Unternehmens sei allerdings als gering einzustufen, da diese über viele Jahre hinweg praktizierte Authentifizierungspraxis bis zu dem Bußgeld nicht beanstandet worden sei. Außerdem berücksichtigte das Gericht mildernd, dass es sich lediglich um einen geringen Verstoß handele, der nicht zu einer massenhaften Herausgabe von Daten an Nichtberechtigte hätte führen können.

Insoweit erscheint die Reduzierung des Bußgeldes nur folgerichtig. Die Entscheidung des LG Bonn zeigt, dass jeder Einzelfall individuell betrachtet wird und hohe Unternehmensumsätze nicht zwangsläufig zu hohen Bußgeldern führen – wenngleich auch 900.000 Euro für einen Einzelverstoß durchaus eine große Summe ist.

Bußgelder können jeden treffen

Das Urteil des LG Bonn darf jedoch nicht als Entwarnung verstanden werden.

Auch wenn das Gericht in diesem Fall das Bußgeld reduziert hat, ist nicht davon auszugehen, dass die Datenschutzbehörden von ihrer konsequenten Linie abrücken und bei Verstößen gegen die DS-GVO keine hohen Bußgelder mehr verhängen werden. Berücksichtigt man zudem, dass der vor dem LG Bonn verhandelte Fall einen einzigen Datenschutzvorfall betraf, ist das Bußgeld in Höhe von immerhin knapp 1 Mio. Euro nicht unwesentlich.

Unternehmen sind weiterhin gehalten, ein Datenschutzkonzept zu implementieren und fortlaufend zu aktualisieren. Bestehende Prozesse müssen überprüft, technische und organisatorische Maßnahmen ergriffen werden, um die Sicherheit der Verarbeitung personenbezogener Daten in den einzelnen Unternehmensprozessen zu gewährleisten. Als wesentlicher Baustein gehört dazu auch ein Löschkonzept. So lassen sich Risiken einer Auseinandersetzung mit Kunden und der Datenschutzaufsichtsbehörde über eine zu lange Datenhaltung im Unternehmen reduzieren.

Ansprechpartner*innen: Dr. Jost Eder/Thomas Schmeding/Oliver Rosenstock

PS: Sie interessieren sich für dieses Thema, dann schauen Sie gern hier.

Folgen Sie uns auf Twitter

Kategorien

Archive

BBH Almanach

Materialien für Praktiker im
Energie-, Infrastruktur- und öffentlichem Sektor aus Wirtschaft, Recht und Steuern

Veranstaltungskalender