DDV Suche
LG Bonn reduziert verhängtes DS-GVO Bußgeld um 91 Prozent
Die 9. Kammer für Bußgeldsachen des Landgerichts Bonn hat am 11. November 2020 (Az. 29 OWi 1/20) entschieden, dass das Bußgeld, welches der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) gegen einen Telekommunikationsdienstleister aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung (DS-GVO) verhängt hat, dem Grunde nach berechtigt, aber unangemessen hoch sei. Die Kammer hat das Bußgeld von ursprünglich 9,55 Millionen Euro daher auf 900.000 Euro herabgesetzt.
Der BfDI warf dem Telekommunikationsunternehmen einen Verstoß gegen die Anforderungen an die Sicherheit der Verarbeitung vor (Art. 32 DS-GVO i. V. m. Art. 83 Abs. 4 a DS-GVO), da keine hinreichenden technischen und organisatorischen Maßnahmen bei der Authentifizierungsabfrage im Callcenter ergriffen worden seien. Die ehemalige Lebensgefährtin eines Kunden des Telekommunikationsunternehmens hatte über das Callcenter des Unternehmens die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.
Der BfDI sah in der Abfrage von Namen und Geburtsdatum überhaupt keine Authentifizierung. Der Verstoß sei wegen eines grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DS-GVO gravierend und das geforderte Bußgeld befinde sich der Höhe nach noch im unteren Rahmen, da das Unternehmen in den Jahren 2018 und 2019 einen Umsatz in Höhe von 3,6 und 3,7 Milliarden Euro erzielt habe. Daran ändere auch nichts, dass das Unternehmen mit der der Aufsichtsbehörde kooperiert und zwischenzeitlich ein neues und verbessertes Authentifizierungsverfahren implementiert habe.
Die Höhe des Bußgeldes hat die Kammer in ihrer Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigten, dass es sich – auch nach der Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.
Das Telekommunikationsunternehmen begründetet seinen Einspruch gegen den Bußgeldbescheid damit, dass dieser der Höhe nach ungerechtfertigt sei und generell kein Verstoß gegen die DS-GVO bestanden habe. Die Abfrage von Namen und Geburtsdatum bei Callcentern sei zu dem Zeitpunkt bei allen Anbietern üblich gewesen. Es stellt zudem klar, dass es sich um einen Einzelfall gehandelt habe und eben nicht um ein systematisches Problem.
Das LG Bonn erkannte den Datenschutzverstoß, stufte diesen aber nur als gering ein, da es nicht „zur massenhaften Herausgabe von Daten an Nichtberechtigte“ habe führen können. Außerdem sei der Rechtsirrtum, in dem sich das Telekommunikationsunternehmen befunden habe, zwar vermeidbar, aber auch verständlich gewesen, da es an verbindlichen Vorgaben für Callcenter fehlen würde.
Weiterhin hat die Kammer entschieden, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle, anders als das deutsche Ordnungswidrigkeitenrecht, kein entsprechendes Erfordernis auf. Grundsätzlich haften nach dem deutschem Ordnungwidrigkeitengesetz Unternehmen nur für Verstöße von Mitarbeitern, die dem Unternehmen auch zurechenbar sind.
Da es sich um einen deutschen Präzedenzfall in Sachen DS-GVO-Bußgeld handelt bleibt abzuwarten, ob die Parteien die Entscheidung akzeptieren oder Beschwerde einreichen.
Ihre Ansprechpartner
Gerne stehen die Mitarbeiter der DDV-Geschäftsstelle für Ihre Fragen zur Verfügung. Hier finden Sie die direkten Kontakte für häufige Fragen. Eine Liste aller Mitarbeiter finden Sie auf der Seite Geschäftsstellen.
Martina Rambach
E-Mail: m.rambach@ddv.deTel: 069 401 276-522
Fax: 069 401 276-599
Franz Peter Altemeier
E-Mail: fp.altemeier@ddv.deTel: 030 509 3209-44
Fax: 030 509 3209-55