Ein Bußgeld von rund 9,5 Millionen Euro sollte ein Telekommunikationsunternehmen wegen Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) zahlen. Das Bußgeld sei zu hoch ausgefallen, entschied das Landgericht (LG) Bonn mit Urteil vom 11. November 2020 (Az.: 29 OWi 1/20 LG). Es reduzierte die Strafe deutlich: Statt mehr als neun Millionen Euro muss das Unternehmen nun nur noch 900.000 Euro zahlen.
Datenabfrage im Callcenter
Zum Hintergrund: Der Bundesdatenschutzbeauftragte (BfDI) hatte im Dezember 2019 das Bußgeld in Höhe von 9,5 Millionen Euro gegen das Telekommunikationsunternehmen wegen Verstoßes gegen die DSGVO erhoben. Denn einer Frau reichte ein Anruf im Call-Center des Unternehmens aus, um an die Telefonnummer einer ihres Ex-Freundes heranzukommen, den sie stalkte. Zur Authentifizierung gab sie nur Namen und das Geburtsdatum des Mannes. Der Callcenter-Agent teilte ihr die gewünschte Telefonnummer mit.
Das ging dem Bundesdatenschutzbeauftragten deutlich zu leicht. Die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Anrufern biete keinen ausreichenden Datenschutz. Wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs.1 DSGVO verhängte er ein Bußgeld in Höhe von 9,55 Millionen Euro.
Bußgeld unangemessen hoch
Das wollte das Unternehmen so nicht akzeptieren. Der Einspruch hat sich gelohnt. Das LG Bonn entschied jetzt, dass zwar ein Verstoß gegen den Datenschutz vorliege, das Bußgeld aber unangemessen hoch sei. Mit dem ersten Urteil eines deutschen Gerichts zu Bußgeldern in Millionenhöhe wegen Verstoßes gegen die DSGVO rückte das LG Bonn die Verhältnismäßigkeiten zurecht.
Das Gericht stellte fest, dass es nach anwendbarem europäischen Recht nicht erforderlich ist, dass ein konkreter Verstoß einer Leitungsperson des Unternehmens festgestellt wird.
In dem konkreten Fall liege ein Datenschutzverstoß vor, da das Unternehmen die Daten seiner Kunden im Rahmen der Kommunikation über die Callcenter nicht hinreichend durch ein sicheres Authentifizierungsverfahren geschützt habe. So sei es zwar möglich gewesen, eine Telefonnummer herauszubekommen, sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten so aber nicht abgefragt werden können.
Verstoß gegen Datenschutz nur gering
Damit liege zwar ein Datenschutzverstoß vor, allerdings sei dieser gering gewesen. Zu einer massenhaften Herausgabe von Daten an Unberechtigte habe der Verstoß nicht führen können, so das Gericht. Zudem sei diese Authentifizierungspraxis über Jahre ausgeübt worden, ohne dass sie beanstandet worden wäre. Es sei also nachvollziehbar, dass es hier am nötigen Problembewusstsein gefehlt habe.
Das Unternehmen habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Dieser Irrtum sei angesichts fehlender verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern zwar verständlich, aber vermeidbar gewesen, führte das Gericht aus.
Das LG Bonn hat die Verhältnismäßigkeit bei der Verhängung von Bußgeldern wegen Verstoßes gegen die DSGVO zurechtgerückt. Maßgeblich ist nicht nur der Umsatz des Unternehmens, sondern auch die Schwere der Verletzung, die Art, die Dauer oder die Reaktion der Verantwortlichen. Auch wenn das Bußgeld daher erheblich reduziert wurde, zeigt das Urteil, dass Verstöße gegen den Datenschutz streng sanktioniert werden.