Der Telekommunikationsanbieter 1&1 muss wegen eines Verstoßes gegen die DSGVO ein Bußgeld von 900.000 Euro zahlen. So entschied das Landgericht Bonn, dessen Urteil nun veröffentlicht wurde. Als erstes deutsches Gericht urteilte es damit über die Forderung eines Millionenbußgeldes gegen ein Unternehmen wegen eines Datenschutzverstoßes. Im Vergleich zu den ursprünglich geforderten 9,6 Millionen Euro Bußgeld kam 1&1 mit der Entscheidung des Landgerichts Bonn aber noch glimpflich davon. 

Der Urteilsspruch der Bonner Richter vom 11. 11. 2020 war von Datenschutzexperten mit Spannung erwartet worden. Erstmals sollte ein deutsches Gericht über ein Millionenbußgeld nach der DSGVO entscheiden und mit seiner Urteilsverkündung wichtige Grundsatzfragen zu den Bußgeldvorschriften der DSGVO klären. Im Kern stellten die Richter klar, das verhängte Bußgeld gegen den Telekommunikationsanbieter 1&1 Telecom GmbH sei rechtens aber zu hoch. Statt 9,6 Millionen Euro seien 900.000 Euro angemessen (Urt. v. 11.11.2020 Az. 29 OWi 1/20 LG). Die aktuell veröffentlichten Urteilsgründe finden Sie hier.

Ausgangspunkt des Rechtsstreits war ein Millionenbußgeld, das der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ende 2019 gegen die 1&1 Telecom GmbH verhängt hatte. Dieser ist als Bundesbehörde für die Kontrolle von Telekommunikationsunternehmen in Sachen Datenschutz zuständig. 

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

1 & 1 gab persönliche Daten an Stalkerin heraus 

Folgender Sachverhalt hatte den Bundesdatenschutzbeauftragten dazu veranlasst, das Bußgeld zu verhängen: Im Jahr 2018 hatte eine Frau bei der 1&1-Hotline angerufen und bekam die neue Handynummer ihres Ex-Mannes übermittelt. Die Frau hatte nur seinen Namen und sein Geburtsdatum genannt und vom Callcenter-Agenten die Nummer durchgesagt bekommen. Der Bundesdatenschutzbeauftragte sah darin einen grob fahrlässigen Verstoß gegen Art. 32 der DSGVO. 

Diese Norm verpflichtet einen Verantwortlichen für die Datenverarbeitung „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. 

Bußgeld von 9,6 Millionen Euro unangemessen 

Gegen das verhängte Bußgeld ging 1&1 gerichtlich vor. Vor allem kritisierte es den Bußgeldbetrag als unverhältnismäßig hoch. Dem pflichtete das Landgericht Bonn in seinem Urteil bei. So habe 1 & 1 als Beklagte gegen Art. 32 Abs. 1 DSGVO verstoßen,

„…indem sie es im Regelfall in ihren Callcentern ausreichen ließ, dass durch die Callcenter-Agenten zur Authentifizierung des Anrufers Name und Geburtsdatum abgefragt wurden. Dies genügte sogar, wenn erkennbar nicht der Kunde selbst, sondern ein Dritter für diesen anrief.“

Ein Verstoß gegen Art. 32 DSGVO liege zwar vor. Allerdings sei ein nur geringer Verstoß zu verzeichnen. Dieser habe nicht zu „einer massenhaften Herausgabe von Daten an Nichtberechtigte“ geführt. Zugunsten des Unternehmens sei auch zu berücksichtigen, dass die über Jahre bei 1&1 vorgenommene Authentifizierungspraxis, die im streitgegenständlichen Fall fehlging, bis zu dem Millionenbußgeld nie beanstandet wurde. Für Callcenter gebe es außerdem keine rechtsverbindlichen Vorgaben, wie sie ihre Authentifizierungsverfahren durchzuführen hätten. 

Verhältnis von DSGVO und OWiG

Weiterhin stellte sich den Bonner Richtern die entscheidende klärungsbedürftige Frage, ob der Datenschutzverstoß des Callcenter-Mitarbeiters dem Telekommunikationsunternehmen überhaupt zurechenbar war. Die DSGVO enthält keine Vorschriften zur Zurechnung eines Datenschutzverstoßes. Nach § 41 Bundesdatenschutzgesetz (BDSG) findet das Gesetz über Ordnungswidrigkeiten (OWiG) jedoch auf DSGVO-Bußgelder mit wenigen Ausnahmen „entsprechend“ bzw. „sinngemäß“ Anwendung. 

Das Ordnungswidrigkeitenrecht lässt Bußgelder gegen Unternehmen aufgrund einer Zurechnung des Verhaltens der Mitarbeiter nur zu, wenn eine natürliche Person aus der Unternehmensleitung entweder selbst einen (Datenschutz-)Verstoß begangen oder Aufsichtspflichten verletzt hat und ihr das Handeln zugleich vorwerfbar ist, es sich also um Vorsatz oder Fahrlässigkeit handelt. Allein weil ein Datenschutzverstoß festgestellt wurde, kann dieser nach dem OWiG noch nicht sanktioniert werden. 

Beobachtern stellte sich also im Vorhinein die Frage, ob die Bonner Richter die Zurechnungskriterien des OWiG strikt anwenden oder sich auf den offenen Wortlaut der DSGVO berufen würden. 

Das Landgericht Bonn bezog hier klar Stellung. Zwar ließen die Richter nicht unerwähnt, dass

„…das deutsche Sanktionsrecht eine solche unmittelbare Haftung von Unternehmen bislang nicht kenne.“

Dennoch stellten die Richter auf den offenen Wortlaut der DSGVO ab.  Dieser enthalte im Gegensatz zum Ordnungswidrigkeitengesetz keine Regelungen zur Zurechenbarkeit. Das anwendbare europäische Recht erfordere nicht, dass konkret festgestellt werden muss, dass eine Leitungsperson des Unternehmens gegen Regelungen verstoßen hat, um ein Bußgeld verhängen zu können.

1 & 1 hat übrigens inzwischen das Authentifizierungsverfahren beim Anruf im Callcenter angepasst. Nun muss man sich bei einem Anruf mit einer Telefon-PIN identifizieren.

mle