Mit einer aktuellen Entscheidung des LG Bonn[1] hat sich erstmals ein deutsches Gericht mit der Höhe eines aufgrund der DSGVO verhängten Millionenbußgelds beschäftigt. Ein ursprünglich gegen den Telekommunikationsanbieter 1&1 verhängtes Bußgeld in Höhe von 9,5 Mio. Euro wurde vom Gericht auf 900.000 Euro gekürzt. Das Urteil betrifft praxisrelevante Fragen zur Bemessung von DSGVO-Bußgeldern[2] und die Zurechnung von Datenschutzverstößen zu Unternehmen.
Callcenter-Gespräch als Ursprung des Verfahrens
Das Bußgeldverfahren hatte seinen Ursprung in einem für 1&1 fatalen Callcenter-Gespräch.[3] Im Jahr 2018 hatte eine Frau bei der 1&1 Hotline angerufen und dort die neue Telefonnummer ihres Ex-Partners erlangt, indem sie sich als dessen Ehefrau ausgab. Zur Legitimation benötigte sie lediglich den Namen und das Geburtsdatum des Kunden (ihres Ex-Partners). Die so erhaltene Nummer nutzte die Frau für belästigende Kontaktaufnahmen, die schließlich in einer Anzeige wegen Nachstellung mündeten, wodurch die Vorgeschichte bekannt wurde.
Als Reaktion auf die Ereignisse verhängte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) im November 2019 ein Bußgeld wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Nach Art. 32 Abs. 1 DSGVO müssen Verantwortliche geeignete technische und organisatorische Maßnahmen für ein angemessenes Schutzniveau bei der Datenverarbeitung gewährleisten. Das laxe Authentifizierungsverfahren genügte nach Ansicht des BfDI nicht, um persönliche Kundendaten ausreichend vor dem Zugriff durch Dritte zu schützen.[4] Gegen diesen Bescheid wehrte sich 1&1 gerichtlich und monierte unter anderem die Verhältnismäßigkeit des Bußgelds.
Entscheidung des LG Bonn
Das LG Bonn hat die Rechtsaufassung des BfDI grundsätzlich bestätigt, wenn auch die Bußgeldhöhe erheblich gesenkt. Zunächst bejahte das Gericht, dass die Verhängung eines Bußgeldes gegen ein Unternehmen möglich sei, ohne dass ein konkreter Verstoß einer Leitungsperson des Unternehmens festgestellt werde.[5] Das insoweit anwendbare europäische Recht stelle kein entsprechendes Erfordernis auf.
Es läge außerdem ein Datenschutzverstoß durch 1&1 vor, indem die Kundendaten nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt worden seien. Jedoch sei zu berücksichtigen, dass mithilfe des Geburtsdatums und des vollständigen Namens keine sensiblen Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten erlangt werden können. Nach Auffassung des Gerichts habe sich 1&1 hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden, der mangels verbindlicher Vorgaben an den Authentifizierungsprozess zwar verständlich, aber vermeidbar gewesen sei. Angesichts des geringen Verschuldens des Telekommunikationsanbieters und aufgrund des Umstandes, dass es sich – auch nach Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handle, sei das Bußgeld daher auf 900.000 Euro herabzusetzen.
Problemschwerpunkte der Entscheidung
Die Entscheidung betrifft im Kern zwei wesentliche, bisher ungeklärte Fragen rund um die Bußgeldverhängung auf Basis der DSGVO: Zum einen geht es um das Verhältnis von DSGVO und nationalen Vorschriften zur Durchsetzung der in der DSGVO vorgesehenen Sanktionen. Die DSGVO sieht vor, dass Bußgelder in der Regel gegen Unternehmen zu verhängen sind. [6] Um ein Unternehmen für den von einem Mitarbeiter begangenen Verstoß haftbar zu machen, bedarf es Regelungen, durch die ein Verstoß einem Unternehmen zurechenbar wird. Da es an solchen Regelungen in der DSGVO jedoch fehlt, erklärt § 41 Abs. 1 Satz 1 BDSG grundsätzlich die Vorschriften des OWiG für die Verhängung von Bußgeldern auf DSGVO-Basis für anwendbar. Nach den §§ 30, 130 OWiG kann ein Bußgeld gegen ein Unternehmen jedoch nur verhängt werden, wenn eine natürliche Person aus der Unternehmensleitung selbst einen (Datenschutz-)Verstoß begangen oder Aufsichtspflichten verletzt hat und ihr das Handeln zugleich vorwerfbar ist.[7] Diese engen Voraussetzungen erschweren das Verhängen von DSGVO-Bußgeldern gegen Unternehmen in Deutschland. Zum Teil wurde daher vertreten, dass die §§ 30, 130 OWiG nicht anwendbar sein sollen, da die DSGVO die Zurechnung von Verantwortlichen abschließend regele, während andere betonten, dass die §§ 30, 130 OWiG nicht von der Verweisung in § 41 BDSG ausgenommen seien.[8] Soweit ersichtlich geht das LG Bonn insoweit von einem umfassenden Vorrang der DSGVO Regelungen aus und wendet damit die §§ 30, 130 OWiG nicht an.
Die zweite im Prozess behandelte Frage betraf die Höhe des zu verhängenden Bußgeldes. Denn dieses muss nach der DSGVO verhältnismäßig und abschreckend sein und soll gleichzeitig die Umstände des Einzelfalls berücksichtigen. Eine rein umsatzbezogene Bußgeldberechnung, wie es die aktuellen Leitlinien der Konferenz der Datenschutzbeauftragen zur Bußgeldbestimmung vorsehen, hält das LG Bonn wohl für unverhältnismäßig.[9] Das Gericht stellt bei der Berechnung unter anderem auf das Verschulden und die Schwere des Verstoßes ab. Weitere Kriterien sollen die Sensibilität der erlangten Daten, die Häufigkeit der Verletzung und die Kooperation mit den Aufsichtsbehörden sein.[10] Der Umsatz eines Unternehmens bleibt damit nur einer von vielen Faktoren.
Fazit
Während die Frage der Zurechnung von Datenschutzverstößen durch Mitarbeiter zu Unternehmen wohl an Brisanz verloren hat, wird die Bußgeldbemessung weiter von Unsicherheiten geprägt sein. Der Entscheidung kann jedoch eine Absage an eine pauschalisierte Berechnung von Bußgeldern entnommen werden. Die Kürzung des Bußgeldes auf ein Zehntel des ursprünglichen Betrags ist ein deutliches Signal. Die Datenschützer werden folglich mehr denn je auf die Umstände des Einzelfalls achten müssen.
Der BfDI sieht sich durch die Entscheidung dennoch bestätigt. Datenschutzverstöße blieben nicht ohne Folgen, hieß es in einer Pressmitteilung.[11] Kein Unternehmen könne es sicher mehr leisten den Datenschutz zu vernachlässigen. Hingegen begrüßte 1&1 das Prozessergebnis.[12] Es sei ein deutliches Signal, dass das ursprüngliche Bußgeld in keinem Verhältnis zum vorliegenden Einzelfall stand. Man behalte sich nach der Prüfung des Urteils noch weitere rechtliche Schritte vor.
Es bleibt mit Spannung abzuwarten, ob die Entscheidung angefochten wird. Mit weiteren Verfahren anderer betroffener Unternehmen ist jedoch zu rechnen. Denn der Fall 1&1 zeigt, dass es sich lohnen kann, sich gegen ein DSGVO Bußgeld vor Gericht zu wehren.
[1] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 LG.
[2] Vgl. zu der Berechnung von Bußgeldern auch: Fischer, Rekord-Bußgeld für H&M, BayWiDI Blog, 21.10.2020,und Gilde, DSGVO-Bußgelder: Berechnung und Verfahren, BayWiDI Blog, 20.12.2019.
[3] LG Bonn reduziert gegen 1&1 verhängtes DS‑GVO‑Bußgeld, beck‑aktuell, 11.11.2020, zuletzt abgerufen am: 18.11.2020.
[4] Wegen DSGVO-Verstoß: 1&1 soll Millionenbußgeld zahlen, lto.de, 10.12.2019, zuletzt abgerufen am: 18.11.2020.
[5] Pressemitteilung des LG Bonn v. 11.11.2020, zuletzt abgerufen am: 18.11.2020.
[6] Puchelt, LG Bonn zum Datenschutzverstoß von 1&1: Sind 9,6 Millionen Euro angemessen?, lto.de, 10.11.2020, zuletzt abgerufen am: 18.11.2020.
[7] Puchelt, lto.de, 10.11.2020 (vgl. Fn. 6).
[8] Vgl. Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Art. 83 DS-GVO, Rn. 102.
[9] Kiparski, LG Bonn kippt umsatzbezogenes Datenschutzbußgeld, cr-online.de, 11.11.2020, zuletzt abgerufen am: 18.11.2020.
[10] Kiparski, cr-online.de, 11.11.2020 (vgl. Fn. 7).
[11] Pressemitteilung des BfDI v. 11.11.2020, zuletzt abgerufen am: 18.11.2020.
[12] Pressemitteilung von 1&1 v. 11.11.2020, zuletzt abgerufen am: 18.11.2020.