DSGVO-Bußgeld in Millionenhöhe für 1&1 wegen Kundendaten gesenkt

Fast 10 Millionen EUR sollte das Telekommunikationsunternehmen 1&1 zahlen, weil über die Hotline sensible Kundendaten an Dritte weitergegeben worden waren. Die Höhe der Strafe empfand das Unternehmen als unangemessen und klagte vor dem Landgericht Bonn, das die Strafe deutlich auf 900.000 EUR reduzierte, in der Sache aber bestätigte und die Haftung von Unternehmen klärte.

Zu den wesentlichen Merkmalen der Datenschutzgrundverordnung gehört der deutlich erhöhte Strafrahmen bei Verstößen. Vor allem große Konzerne sollen sich nicht mehr durch Zahlungen ""aus der Portokasse"' freikaufen können, wenn ihnen Datenschutzvergehen nachgewiesen werden konnten. Denn durch die Neuregelung kann sich das maximal zu entrichtende Bußgeld auch nach der Höhe des letzten Jahresumsatzes orientieren und bis zu vier Prozent des weltweit erzielten Umsatzes betragen, was dann auch für Großkonzerne abschreckende Wirkung haben dürfte.

Bundesdatenschutzbeauftragte setzt ein Zeichen

Hatten sich die deutschen Datenschutzbehörden zunächst noch etwas zurückgehalten, haben die zuständigen Landesdatenschutzbehörden mittlerweile auch hierzulande Strafen im zweistelligen Millionenbereich verhängt, etwa gegenüber einem Berliner Immobilienunternehmen, das personenbezogene Kundendaten zu lange aufbewahrt hatte oder gegen den Modekonzern H&M, der unzulässigerweise umfangreiche Daten der eigenen Mitarbeiter erfasst hatte. 

9,55 Millionen: DSGVO-Sanktion gegen Telekommunikationskonzern 1&1 verhängt

Auch der Bundesdatenschutzbeauftragte wollte bereits im letzten Jahr ein klares Signal setzen und hatte daher Ende 2019 ein Bußgeld in Höhe von 9,55 Millionen EUR gegen den Telekommunikationskonzern 1&1 verhängt. 

Teures Plaudern an der Hotline: keine geeigneten organisatorische Maßnahmen

Beanstandet worden war, dass Anrufern bei der Hotline weitreichende Informationen zu personenbezogenen Kundendaten mitgeteilt wurden. So hätten Anrufer lediglich Namen und Geburtsdatum einer Person angeben müssen, um etwa Daten zu deren Vertrag abfragen zu können. Dieses Vorgehen wertete die Bundesbehörde als Verstoß gegen den Art. 32 DSGVO, der Unternehmen vorschreibt, geeignete technische und organisatorische Maßnahmen zu ergreifen, mit denen die Verarbeitung personenbezogener Daten systematisch geschützt werden kann.

Durch eine Stalkerin kam die Schwachstelle ans Licht

Aufmerksam auf diese massive Datenschutzunzulänglichkeit war man durch einen Einzelfall geworden, bei dem eine als Stalkerin in Erscheinung getretene Frau bei der 1&1-Hotline die neue Rufnummer ihres Ex-Mannes mitgeteilt bekam, nachdem sie dessen Namen und Geburtsdatum angeben konnte.

Authentifizierungsvorgang durch Abfrage weiterer Daten sicherer gemacht

Nachdem die Behörde dem Unternehmen diesen Mangel mitgeteilt hatte, habe man sich dort einsichtig und kooperativ verhalten und als Sofortmaßnahme den Authentifizierungsvorgang durch die Abfrage weiterer Daten sicherer gemacht. Zudem hat man bei 1&1 auch grundsätzlich reagiert und ist derzeit dabei, allen Kunden eine spezielle Service-PIN zuzustellen, mit der sie sich künftig bei derartigen Anfragen legitimieren können.

Bußgeld-Höhe überrascht

Trotz der schnellen Reaktion und Kooperationsbereitschaft verhängte der Bundesdatenschutzbeauftragte das recht hohe Bußgeld und begründete dies in seiner Pressemitteilung  damit, dass es sich um einen Fehler gehandelt habe, der ein Risiko für den gesamten Kundenbestand dargestellt habe. Zudem wies er darauf hin, dass sich das Bußgeld gemessen an den Möglichkeiten des DSGVO-Sanktionskatalogs noch im unteren Bereich bewege. 

Erfolgreiche Klage gegen Bußgeldhöhe

Das Unternehmen kritisierte insbesondere die Höhe des Bußgeldes als unverhältnismäßig und klagte dagegen vor dem Landgericht Bonn, dass sich dieser Auffassung in seinem jetzt ergangenen Urteil weitgehend anschloss. Das Gericht bestätigte zwar, dass ein Bußgeld dem Grunde nach berechtigt war, stufte dieses aber gleichzeitig auch als unangemessen hoch ein. Statt der ursprünglich geforderten Summe von 9,55 Millionen EUR hält man hier ein Bußgeld von 900.000 EUR für ausreichend.

Praxis hat nicht zur massenhaften Herausgabe von Daten geführt

Die über Jahre geübte und bis dahin nicht beanstandete Praxis habe nicht zu einer massenhaften Herausgabe von Daten geführt, zudem sei der vorliegende Rechtsirrtum auch verständlich gewesen, da es bis dahin an verbindlichen Vorgaben für Callcenter gefehlt habe, begründeten die Richter ihre Auffassung.

Bundesdatenschutzbeauftragte nimmt es sportlich

Trotz der deutlichen Reduzierung der Strafe sieht sich auch der Bundesdatenschutzbeauftragte bestätigt. In der Sache sei das Gericht der Auffassung des BfDI in weiten Teilen gefolgt und habe die Haftung des Unternehmens für die Versäumnisse im Callcenter bestätigt. Der Datenschutzbeauftragte zeigt sich in einer Pressemitteilung überzeugt, dass diese Entscheidung auch in anderen Chefetagen von Unternehmen wahrgenommen werde. Zwar wolle er die schriftliche Urteilsbegründung abwarten, aber schon jetzt sei es klar, dass es sich kein Unternehmen mehr leisten könne, den Datenschutz zu vernachlässigen.

Können Unternehmen ohne konkreten Verstoß einer Führungsperson haften?

Eine wichtige Rechtsfrage lautete für das Gericht, ob Unternehmen selbst, ohne einen konkret an einer Führungsperson festzumachenden Verstoß g nach dem OWiG haften müssen, denn gem. § 41 BDSG findet findet das Gesetz über Ordnungswidrigkeiten Anwendung.

Das Gericht bejahte mit seinem Urteil die Anwendung des europäischen Unternehmensbegriffs, nach dem, anders als nach deutschem Ordnungswidrigkeitenrecht, ein solcher Verstoß nicht nachgewiesen werden muss. 

(LG Bonn, Urteil v. 11.1.2020 , 29 OWi 1/20 LG)

Weitere News zum Thema:

Umsetzung des DSGVO-Vorgaben in hiesigen Unternehmen

Tipps zur Vermeidung von Datenschutzpannen

Hintergrund: 5 Kriterien für die Höhe der DSGVO-Bußgelder

Die Unternehmensbußgelder werden nach dem neuen Konzept der Datenschutzbehörden anhand mehrerer Kriterien in einem fünfstufigen Prozess ermittelt:

  1. Zunächst wird das Unternehmen einer Größenklasse zugeordnet, wobei es vier verschiedene dieser Klassen (Kleinstunternehmen, kleine und mittlere Unternehmen sowie Großunternehmen) gibt.
  2. Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt.
  3. Anschließend wird ein wirtschaftlicher Grundwert ermittelt, der einer Art Tagessatz entspricht.
  4. Dieser Grundwert wird im vierten Schritt mit einem Faktor multipliziert, der die Schwere des Tatbestands wiederspiegelt. Die Faktoren reichen von 1-2 für leichte, formelle Verstöße (nach Art. 83 Abs. 4 DSGVO) bis zu 12 oder höher bei sehr schweren, materiellen Verstößen (nach Art. 83 Abs. 5, 6 DSGVO).
  5. Abschließend wird der so ermittelte Wert anhand weiterer täterbezogener oder sonst noch nicht berücksichtigter Umstände angepasst. Hiermit soll etwa verhindert werden, dass ein Unternehmen durch ein hohes Bußgeld zahlungsunfähig wird.

Weitere Details zu den Berechnungsvorgaben finden Sie im Konzept der Datenschutzbehörden.