Bußgeld DSGVO: LG Bonn senkt Bußgeld von 9,55 Mio € auf 900.00,- €


Der Datenschutzbeauftragte verhängte ein Bußgeld von 9,55 Mio €, dass vom Landgericht Bonn auf 900.000,- € reduziert wurde.

Das Bußgeld und Die DSGVO – eine never ending story: Die für Bußgeldsachen zuständige 9. Kammer des LG Bonn hat einen Bußgeldbescheid des Bundesbeauftragten für Datenschutz gegen einen Telekommunikationsdienstleister auf weniger als ein Zehntel der ursprünglichen Höhe abgesenkt. Der Bescheid sei der Sache nach berechtigt, jedoch unangemessen hoch, so die Bonner Richter. Aus der ursprünglichen Summe von 9,55 Millionen € wurden damit 900.00,- € (LG Bonn, Az.: 29 OWi 1/20 LG).

DSGVO-Verstoß als Ursache für Bußgeld

Das Bußgeldverfahren erfolgte auf eine Strafanzeige wegen „Stalking“, von dem ein Kunde des Telekommunikationsdienstleisters betroffen war. Dieser hatte sich von seiner Lebensgefährtin getrennt und dann seine Telefonnummer gewechselt. Daraufhin hatte die Frau über das vom Telekommunikationsdienstleister betriebene Callcenter die neue Telefonnummer des Mannes erfragt und auch erhalten. Es hatte hierfür genügt, dass sie sich als Ehefrau ausgegeben hatte.

Der betreffenden Mitarbeiterin des Callcenters hatte als Legitimierung der Name plus Geburtsdatum des Kunden genügt. Nachdem die Frau die neue Telefonnummer hatte, stalkte sie ihren Ex-Partner. Dieser zeigte den Telekommunikationsdienstleister wegen Verstoßes gegen die DSGVO an, woraufhin der BfDI (Bundesdatenschutzbeauftragter) das betreffende Bußgeld verhängt hatte.

Dies war mit einem grob fahrlässigen Verstoß gegen Artikel 32 Absatz 1 DSGVO zu begründen, was sachlich richtig ist. Die bloße Abfrage eines Namens plus Geburtsdatum darf keinesfalls zur Authentifizierung genügen, um an einen Telefonanrufer eine fremde Nummer herauszugeben. Die Daten der Kunden werden im betreffenden Callcenter offenkundig nicht ausreichend geschützt.

Verfahren vor der Bonner Bußgeldkammer

Der Telekommunikationsdienstleister legte gegen den Bußgeldbescheid schließlich Einspruch ein, womit das Verfahren vor der Bonner Bußgeld-Kammer landete, die darüber an fünf Hauptverhandlungstagen verhandelte. Die Verhängung eines Bußgeldes war demnach berechtigt. Hierfür musste auch nicht der konkrete Verstoß eines Managers festgestellt werden, der offenbar nicht vorlag, weil die Auskunft von einer Mitarbeiterin am Telefon eigenmächtig erteilt worden war.

Es gibt zwar das Erfordernis einer Verantwortlichkeit von Managern durch das deutsche Ordnungswidrigkeitenrecht, jedoch nicht in der DSGVO. Diese schreibt vor, dass Unternehmen ihre internen Abläufe (und ihre Technik) so gestalten, dass solche Datenlecks auszuschließen sind. Ein Datenschutzverstoß lag damit unstreitig vor, sodass auch ein Bußgeld gerechtfertigt ist.

Der Telekommunikationsdienstleister hätte seine Kundendaten durch ein sicheres Authentifizierungsverfahren schützen müssen. Dass er das nicht getan hatte, beruhte nach Auffassung der Bonner Richter offenkundig auf dem Rechtsirrtum, dass die Pflicht zu einem sicheren Authentifizierungsprozess deshalb nicht bestünde, weil es hierfür keine rechtsverbindlichen Vorgaben gebe.

Die DSGVO schreibt indes ausdrücklich nicht vor, wie genau Unternehmen ihre Daten schützen müssen. Sie verpflichtet diese dabei nur zum ausreichenden Datenschutz durch angemessene Maßnahmen. Die Bußgeldhöhe senkte die Kammer deshalb folglich auf weniger als ein Zehntel ab, weil das Verschulden des Unternehmens als gering einzuschätzen war. Die Mitarbeiterin hatte sich an Usancen einer Authentifizierungspraxis gehalten, die bis 2018 (Inkrafttreten der DSGVO) durchaus gängige Praxis gewesen waren. Damit fehlte beim Telekommunikationsdienstleister offenbar das notwendigen Problembewusstsein.

Der betreffende Datenschutzverstoß war zudem als gering einzuschätzen, eine Auffassung, der auch der BfDI folgte. Schwerwiegende Datenschutzverstöße können durchaus zu Lecks mit massenhaftem Datenabfluss von sehr vielen Betroffenen führen. Dies war hier nicht möglich und/oder zu erwarten. Daher war ein deutlich abgesenktes Bußgeld angemessen. Es fand schließlich eine Reduzierung von 9,55 Millionen € auf 900.000,- € statt.

Bemessung der Geldbuße

Bußgelder sollen nach Artikel 83 Absatz 1 DSGVO wirksam, abschreckend und dennoch verhältnismäßig ausfallen. Zumessungskriterien nennt der Artikel 83 Absatz 2 Satz 2 DSGVO. Diese betreffen folgende Punkte:

#1 Art, Schwere und Zeitdauer des Verstoßes
#2 Zahl der Geschädigten
#3 materielles Ausmaß des Schadens
#4 Kategorie der betroffenen Daten
#5 Bemühen des Unternehmens um Schadensbegrenzung
#6 Umfang der Kooperation des Unternehmens mit den Datenschutzbehörden
#7 Grad der Verantwortlichkeit

Der Artikel 83 DSGVO nennt in seinem Absatz 2 Satz 2 ausdrücklich nicht den Umsatz des Unternehmens als Zumessungsgesichtspunkt. Dennoch bleibt dieser relevant, um dem Bußgeldrahmen eine notwendige Orientierung zu verschaffen. Im hier zitierten Fall hielt die Bonner Kammer 900.000 Euro für angemessen.

Bußgelder können schnell enorme Höhe erreichen: H&M: 35,5 Mio €

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.