DS-GVO-Bußgeld des BfDI hält Urteil des LG Bonn nicht stand

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hatte im November 2019 den Telekommunikationsdienstleister 1&1 Telecom GmbH wegen eines grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 Ds-GVO mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Das Unternehmen hatte nach Auffassung des BfDI keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sah der BfDI einen Verstoß gegen Artikel 32 DS-GVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen. 

Nach der damaligen Einschätzung des BfDI bewegte er sich bei der Festsetzung der Höhe der Geldbuße aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens. 

Der Telekommunikationsdienstleister legte gegen den Bußgeldbescheid Einspruch ein, so dass die Sache an fünf Verhandlungstagen vor der 9. Kammer für Bußgeldsachen verhandelt wurde. Am heutigen Tag (11.11.2020) erging am Landgericht Bonn das Urteil im Verfahren.

Die Höhe des Bußgeldes hat die Kammer in ihrer Entscheidung auf 900.000 EUR herabgesetzt. Dabei sei berücksichtigt worden, dass das Verschulden des TK-Anbieters gering gewesen sei. Die Geringfügigkeit des Datenschutzverstoßes sei auch vom BfDI nicht bestritten worden. Für die Geringfügigkeit spreche, dass die fehlenden technisch-organisatorischen Maßnahmen im Sinne des Art. 32 Ds-GVO nicht geeignet gewesen seien, zu einer massenhaften Herausgabe von Daten an Nichtberechtigte zu führen. In der Sache habe die Kammer aber einen Datenschutzverstoß festgestellt, da der TK-Anbieter die Daten seiner Kunden im Rahmen der Kommunikation über die Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe.

Eine Stellungnahme des BfDI zum Ausgang des Verfahrens folgte bereits am Tag der Urteilsverkündung. Der BfDI sieht sich durch die Entscheidung des Landgerichts Bonn bestätigt. Das LG Bonn habe geurteilt, dass 1&1 für seinen Verstoß hafte. Das zeige, dass Datenschutzverstöße nicht ohne Folgen blieben.

Auch wenn der BfDI in seiner Stellungnahme nicht auf die beträchtliche Reduzierung der Höhe der Geldbuße eingeht, dürfte diese ggf. verkürzte Feststellung durchaus den Kern des Urteils richtig beschreiben. Vor dem Hintergrund, dass sowohl der BfDI als auch das LG Bonn von einem eher geringfügigen Datenschutzverstoß ausgehen, kann die Höhe des Bußgeldes trotz der Reduzierung als wirksam, verhältnismäßig und abschreckend  im Sinne des Art. 83 Abs. 1 DS-GVO bezeichnet werden . Eine interessante Frage wäre, wie das LG Bonn wohl in einem Fall des Kalibers H & M geurteilt hätte.

Ob der Ausgang des Urteils ggf. dazu führt, dass das Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen neu angefasst wird, bleibt abzuwarten.

(Bild stock.adobe.com/Sebastian Duda)








Letztes Update:11.11.20

  • Strategischer Umgang mit Bußgeldbescheiden bei Datenschutzverstößen

    Strategischer Umgang mit Bußgeldbescheiden bei Datenschutzverstößen

    Seminar

    940.10 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678.60 € Mehr erfahren
  • Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung

    1368.80 € Mehr erfahren
  • Datenschutz-Adventskalender

    Alle Jahre wieder: Der Datenschutz-Adventskalender

    Es sind zwar schon einige Türchen auf. Es lohnt sich jedoch nach wie vor, täglich auf den Seiten des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vorbeizuschauen. Der (LfDI) Rheinland-Pfalz hat pünktlich zum 1. November 2020, einen virtuellen Adventskalender gestartet. Professor Dieter Kugelmann und seine Mitarbeiterinnen und Mitarbeiter laden wie in früheren Jahren Datenschutz-Interessierte

    Mehr erfahren
  • Digitalisierung

    Arbeitspapier zu Datenmanagement- und Datentreuhandsystemen

    Die Fokusgruppe Datenschutz veröffentlicht unter der Leitung der GDD ein Arbeitspapier zu den Datenmanagement- und Datentreuhandsystemen anlässlich des Digital-Gipfel 2020 der Bundesregierung. „Durch Digitalisierung zu mehr Nachhaltigkeit“ lautet das Motto des Digital-Gipfels 2020. Technische Innovationen zur Unterstützung ökologischer, ökonomischer und sozialer Ziele sind aus Sicht der Bundesregierung wichtige Aspekte eines nachhaltigen Wirkens. Die Digitalisierung bietet auch hier zahlreiche

    Mehr erfahren
  • Checkliste ViKo

    Datenschutz-Checkliste für Videokonferenz-Systeme

    Auf Grund der Maßnahmen zur Bekämpfung der Corona-Pandemie haben viele Unternehmen kurzfristig Telearbeitsplätze eingerichtet, um ihren Beschäftigten die Möglichkeit zu eröffnen, ihren arbeitsvertraglichen Pflichten auch von Zuhause nachkommen können. Um trotzdem die betriebsinterne Kommunikation sicherzustellen, setzen Unternehmen häufig sog. Software as a Service Dienstleister (kurz: SaaS) für Video- und Onlinekonferenzen, -Meetings oder Webinare ein. Hierbei

    Mehr erfahren