Nicht billig, aber gerecht? – Reduzierung von Bußgeld wegen DSGVO-Verstoß

LG Bonn, Urteil vom 11.11.2020 Az.: 29 OWi 1/20 LG

Bußgelder wegen Datenschutzverstöße können teuer sein. Es kann sich aber lohnen dagegen anzugehen, wie eine Entscheidung des Landgerichts Bonn zeigt. Danach wurde ein vom Bundesdatenschutzbeauftragen verhängtes Bußgeld zwar dem Grunde nach bestätigt, der Höhe nach jedoch erheblich reduziert.

 
Verhängt wurde das Bußgeld in Höhe von ca. € 9,6 Mio. gegen das Telekommunikationsunternehmen „1&1“. Die Hintergründe waren dabei zunächst recht „sachfremd“, denn die Datenschutzbehörde deckte den Verstoß wegen eines „Stalking-Vorfalls“ auf. Die ehemalige Lebensgefährtin eines 1&1 Kunden hatte über das Callcenter von „1&1“ die neue Telefonnummer ihres Verflossenen in Erfahrung gebracht. Das war auch nicht sonderlich schwer, da sie sich als die Ehefrau des Kunden ausgab und sich lediglich mit dem Namen und dem Geburtsdatum des Verflossenen legitimieren musste. Die so erlangte Telefonnummer nutzte die Dame, um ihren Ex-Freund telefonisch zu belästigen, welcher daraufhin eine Strafanzeige wegen Nachstellung („Stalking") gegen seine Ex-Freundin stellte.

Im Zuge dessen wurde dann die Datenschutzbehörde auf den Datenschutzverstoß des Telekommunikationsdienstleisters aufmerksam und ermittelte. Nach Ansicht der Datenschützer lag ein grob fahrlässiger Verstoß gegen Art. 32 Abs. 1 DSGVO vor. Die technischen und organisatorischen Maßnahmen seien unzureichend, wenn durch die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung Telefonnummern in Erfahrung gebracht werden können. Diese Methode gewährleiste nach Ansicht der Behörde keinen ausreichenden Schutz der Kundendaten im Callcenter, so dass in der Folge das Bußgeld in Höhe von ca. € 9,6 Mio. als angemessen angesehen wurde. Gegen den Bußgeldbescheid legte „1&1“ Einspruch ein.

Mit Erfolg! In der Sache bestätigten die Richter einen Datenschutzverstoß, weil die Kundendaten im Rahmen der Kommunikation über die Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt seien. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie beispielsweise die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten auf diesem Wege indes nicht abgefragt werden können, so das Gericht weiter.

Das Verschulden des Dienstleisters sei nach Auffassung der Richter jedoch gering. Denn es handele sich vorliegend um eine über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei. Insoweit habe es an dem notwendigen Problembewusstsein gefehlt, so dass diese Praxis zunächst intern nicht hinterfragt wurde. Zudem müsse bei der Festsetzung der Bußgeldhöhe berücksichtigt werden, dass es sich nur um einen geringen Datenschutzverstoß gehandelt habe. Dieser habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können. Die Höhe des Bußgeldes war nach dem Urteil des LG daher auf aus Sicht des Gerichts angemessene € 900.000,00 herabzusetzen.

Ob die Entscheidung rechtskräftig ist, ist diesseits nicht bekannt.

Diesen Artikel und weitere Steuernews lesen Sie in dem Mandantenbrief Dezember 2020.

Als PDF ansehen.

1