Datenschutzverstöße bleiben nicht ohne Folgen
Im Verfahren um den Bußgeldbescheid des Bundesdatenschutzbeauftragten gegen die 1&1 Telecom GmbH hat das Landgericht Bonn heute zugunsten von 1&1 entschieden. Die Richter erklärten das ursprünglich verhängte Bußgeld in Höhe von 9,55 Mio. Euro für unverhältnismäßig und reduzierten es auf 0,9 Mio. Euro.
Das Gericht sah in dem vorliegenden Fall nur einen leichten, nicht vorsätzlichen Verstoß gegen den Datenschutz in einem Einzelfall, für den ein Bußgeld in Millionenhöhe nicht angemessen sei. Gleichzeitig flossen zahlreiche mildernde Umstände in das Urteil ein. So seien keine sensiblen Daten betroffen und eine massenhafte Herausgabe von Daten sei nicht zu befürchten gewesen. Darüber hinaus habe 1&1 sofort umfassend mit dem Bundesdatenschutzbeauftragten zusammengearbeitet.
Die Kammer hat entschieden, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.
Das LG Bonn erläutert weiter: In der Sache liege ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sog. Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie z.B. die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten auf diesem Wege indes nicht abgefragt werden können. Die Betroffene habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern sei dieser Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.
Die Höhe des Bußgeldes hat die Kammer in ihrer Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigten, dass es sich – auch nach der Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.
Der Bundesdatenschutzbeauftragte zum Urteil: „Die 1&1 Telecom GmbH hat durch unzureichende Sicherheitsmaßnahmen im Callcenter einen Datenschutzverstoß begangen. Sie muss als Unternehmen nach den Maßstäben der DSGVO dafür haften: Ich bin überzeugt, dass diese Entscheidung in den Chefetagen von Unternehmen wahrgenommen wird.“
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hatte 1&1 vorgeworfen, durch eine nicht den Standards entsprechende Authentifizierung am Telefon, technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten nicht eingehalten zu haben. Die Behörde hatte daraufhin im Dezember 2019 den Bußgeldbescheid gegen 1&1 verhängt. Dagegen hatte die 1&1 Telecom GmbH vor dem Landgericht Bonn geklagt.
Das Unternehmen sah in dem sehr hohen Bußgeld einen Verstoß gegen das Grundgesetz, insbesondere die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit. Die Berechnung des Bußgeldes orientiert sich seit dem vergangenen Jahr im Widerspruch zur Datenschutz-Grundverordnung (DSGVO) am jährlichen Konzern-Umsatz. Dadurch können bereits kleinste Abweichungen hohe Geldbußen zur Folge haben.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks