Kategorien
IT-Recht & Technologierecht Datenschutzrecht Ordnungswidrigkeitenrecht

Urteil im Bußgeldverfahren gegen einen Telekommunikationsdienstleister

Die 9. Kammer für Bußgeldsachen des Landgerichts Bonn hat heute entschieden, dass das Bußgeld, welches der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) gegen einen Telekommunikationsdienstleister aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) verhängt hat, dem Grunde nach berechtigt, aber unangemessen hoch sei. Die Kammer hat das Bußgeld von ursprünglich 9,55 Millionen Euro daher auf 900.000 Euro herabgesetzt (LG Bonn, 29 OWi 1/20 LG).

Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.

Der BfDI verhängte deshalb im November 2019 gegen den Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen Euro wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.

Gegen diesen Bescheid hat der Telekommunikationsdienstleister Einspruch eingelegt, weshalb die Sache an fünf Hauptverhandlungstagen vor der 9. Kammer für Bußgeldsachen verhandelt wurde.

Die Kammer hat entschieden, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.

In der Sache liege ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sog. Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie z.B. die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten auf diesem Wege indes nicht abgefragt werden können.

Die Betroffene habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern sei dieser Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.

Die Höhe des Bußgeldes hat die Kammer in ihrer Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigten, dass es sich – auch nach der Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können. (Quelle: Pressemitteilung des Gerichts)


Zur Bemessung des Bussgeldes führte das Gericht aus:

Bei der Bemessung der Geldbuße innerhalb dieses Bußgeldrahmens war für die Kammer folgendes maßgebend:

a) Nach Art. 83 Abs. 1 DS-GVO stellt jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. In Art. 83 Abs. 2 S. 2 DS-GVO sind Zumessungskriterien aufgeführt, die bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall „gebührend“ zu berücksichtigen sind. Relevant sind danach insbesondere Art, Schwere und Dauer des Verstoßes, die Zahl der von der Verarbeitung betroffenen Personen, das Ausmaß des Schadens, die Kategorie der betroffenen personenbezogenen Daten, das Bemühen des Unternehmens, den Schaden zu begrenzen, Art und Umfang der Kooperation mit den Datenschutzbehörden und der Grad der Verantwortlichkeit.

Der Umsatz des Unternehmens ist in Art. 83 Abs. 2 S. 2 DS-GVO nicht als Zumessungsgesichtspunkt genannt. Daraus folgt nicht, dass dem Umsatz des Unternehmens bei der Bemessung der Geldbuße keine Bedeutung zukommt. Zum einen bestimmt der Umsatz bei umsatzstarken Unternehmen die Bußgeldobergrenze und spannt dadurch erst den Rahmen auf, in den der konkrete Datenschutzverstoß einzuordnen und einzupassen ist. Der Bußgeldrahmen gibt der konkreten Zumessung die notwendige Orientierung. Zum anderen müssen Geldbußen gegen Unternehmen gem. Art. 83 Abs. 1 DS-GVO wirksam und abschreckend sein. Dies richtet sich auch nach der Ahndungsempfindlichkeit des jeweiligen Unternehmens. Je größer das Unternehmen ist, desto geringer ist regelmäßig die Ahndungsempfindlichkeit und desto höher ist im Regelfall das Bußgeld zu bemessen, damit es seine spezialpräventive Wirkung entfalten kann. Die Höhe des Umsatzes ist für die Unternehmensgröße und damit für die Ahnungsempfindlichkeit ein geeigneter Indikator; der Bilanzgewinn und sonstige Kennzahlen der wirtschaftlichen Leistungsfähigkeit des Unternehmens können zusätzlich berücksichtigt werden.

b) Es darf jedoch nicht aus dem Blick geraten, dass die DS-GVO in Art. 83 Abs. 2 S. 2 in erster Linie tatbezogene Gesichtspunkte für die Bemessung aufführt. Eine Bemessung des Bußgeldes durch Ermittlung eines sich nach dem Umsatz richtenden Grundwertes für das Bußgeld, welcher je nach Schwere des Datenschutzverstoßes mit einem Faktor multipliziert wird, ist aus diesem Grund und wegen der damit einhergehenden Fokussierung auf den Unternehmensumsatz problematisch. Einen solchen Ansatz hat der BfDI in Anlehnung an das Bußgeldkonzept der Datenschutzkonferenz vom 19.10.2019 bei der Bußgeldbemessung verfolgt. Eine solche Bemessungsmethode mag bei Datenschutzverstößen von mittlerem Gewicht zu angemessenen Ergebnissen führen. Sie versagt jedoch bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen, also in denjenigen Fällen, in denen eine maßgeblich am Umsatz orientierte Zumessung in Widerstreit gerät zu der Zumessung anhand der Kriterien in Art. 83 Abs. 2 S. 2 DS-GVO. Hier haben die tatbezogenen Zumessungsgesichtspunkte in Art. 83 Abs. 2 S. 2 DS-GVO Vorrang. Der Umsatzhöhe kommt zwar weiterhin Bedeutung zu. Im Verhältnis zur Tatschuld verliert der Umsatz jedoch umso mehr an Bedeutung, desto eindeutiger die Bewertung der Schwere des Datenschutzverstoßes anhand der tatbezogenen Umstände in die eine oder andere Richtung ausfällt.

c) Für schwere Datenschutzverstöße umsatzschwacher Unternehmen ergibt sich dies aus Art. 83 Abs. 4 DS-GVO selbst. Dieser enthält gerade keine allgemein am Umsatz orientierte Bußgeldobergrenze. Vielmehr ist eine Obergrenze von 10 Millionen Euro vorgesehen, die bei sehr umsatzstarken Unternehmen erhöht wird. Der europäische Gesetzgeber ermöglicht es daher den Aufsichtsbehörden und Gerichten, bei schweren Datenschutzverstößen auch gegen umsatzschwache Unternehmen hohe, gegebenenfalls auch existenzbedrohende Geldbußen zu verhängen.

d) Bei gering gewichtigen Datenschutzverstößen umsatzstarker Unternehmen ist eine maßgebliche Orientierung am Umsatz bei der Zumessung der Geldbuße in gleicher Weise nicht sachgerecht. Eine Geldbuße muss gem. Art. 83 Abs. 1 DS-GVO zwar wirksam und abschreckend sein. Beide Gesichtspunkte verlieren bei Datenschutzverstößen von geringem Gewicht aber an Bedeutung. Zudem muss die Geldbuße nach Art. 83 Abs. 1 DS-GVO stets auch verhältnismäßig sein. Mit anderen Worten: Die Geldbuße muss spürbar sein; sie darf jedoch nicht als unangemessene Härte im Sinne einer überzogenen Reaktion auf den konkreten Verstoß erscheinen.

e) Bei dem Verstoß der Betroffenen gegen Art. 32 DS-GVO handelt es sich um einen Datenschutzverstoß mit einem deutlichen Überwiegen mildernder Gesichtspunkte. Denn es ist zu berücksichtigt, dass105

– keine sensiblen Daten betroffen waren;

– es nur in dem einen Fall nachweisbar zu der Schädigung eines Kunden gekommen ist, wobei allerdings relativierend zu berücksichtigen ist, dass Fälle eines Datendiebstahls über das Callcenters nicht stets bekannt werden;

– K nicht absichtlich, bewusst oder auch nur bedingt vorsätzlich gegen das Datenschutzrecht verstoßen hat;

– man vielmehr davon ausgegangen ist, dass der Authentifizierungsprozess gesetzeskonform ist, auch wenn diese Fehlvorstellung vermeidbar war;

– es keine Vorgaben für die Authentifizierung in Callcentern gab;110

– ein niedriges Sicherheitsniveau auch deswegen bestand, damit die Kunden ohne größere Hindernisse mit dem Callcenter in Kontakt treten konnten;

– die Betroffene umfassend mit dem BfDI kooperiert hat und unverzüglich das Schutzniveau des Authentifizierungsprozesses erhöht und in Abstimmung mit dem BfDI letztendlich eine Service-PIN eingeführt hat;

– gegen K erstmals wegen eines Datenschutzverstoßes eine Geldbuße verhängt wird.

Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht | kontakt@ferner-alsdorf.de
Letzte Artikel von Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht | kontakt@ferner-alsdorf.de (Alle anzeigen)