Update Datenschutz Nr. 86
Bußgeldpraxis der Datenschutzaufsichtsbehörden auf dem Prüfstand
Der Bundesbeauftragte für den Datenschutz und die Informationsfreit (BfDI) verbucht die Entscheidung als Erfolg: Zwar hat das Landgericht Bonn am 11. November 2020 sein gegen die 1&1 Telekom GmbH wegen eines Datenschutzverstoßes verhängtes Bußgeld von ursprünglich EUR 9,55 Mio. auf EUR 990.000,00 herabgesetzt und damit die Bußgeldpraxis der deutschen Aufsichtsbehörden grundsätzlich in Frage gestellt. Dennoch sieht sich der BfDI nach einer Presseerklärung vom selben Tag bestätigt, denn das LG Bonn habe „wichtige und grundsätzliche Fragestellungen“ in seinem Sinne geklärt.
Und in der Tat ist das Urteil des LG Bonn das erste Urteil über ein von einer deutschen Aufsichtsbehörde nach den Vorgaben der Europäischen Datenschutzgrundverordnung (DSGVO) verhängtes Bußgeld. Mit Einführung der DSGVO im Mai 2018 wurde der Bußgeldrahmen für Verstöße gegen das Datenschutzrecht erheblich angehoben. Je nach Art des Verstoßes können die Datenschutzaufsichtsbehörden nunmehr ein Bußgeld von bis zu EUR 20 Mio. oder (bei Unternehmen) bis zu 4 Prozent des weltweiten Jahresumsatzes verhängen.
Um die Bemessung von Bußgeldern unter den deutschen Datenschutzaufsichtsbehörden zu vereinheitlichen, veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im Oktober 2019 ein „Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen“ bei Verstößen gegen die DSGVO. Dieses Konzept legte auch der BfDI der Bemessung seines Bußgelds für 1&1 zugrunde. Und so war auch das Konzept jedenfalls mittelbar Gegenstand der Entscheidung der Bonner Richter, deren Gründe jedoch bislang noch nicht veröffentlicht sind.
Der Fall
Hintergrund des Falles war, dass die ehemalige Lebensgefährtin eines Kunden von 1&1 über das Callcenter des Telekommunikationsanbieters die neue Telefonnummer ihres Ex-Partners erfragt hatte, in dem sie sich als seine Ehefrau ausgegeben hatte. Zur Legitimierung musste sie, entsprechend dem bei 1&1 bis dahin vorgesehenen Authentifizierungsverfahren, lediglich den Namen und das Geburtsdatum des Kunden angeben. Mit Hilfe der auf diese Weise in Erfahrung gebrachten neuen Telefonnummer ihres Ex-Partners konnte sie diesen stalken.
Der für 1&1 als Aufsichtsbehörde zuständige BfDI sah hierin einen grob fahrlässigen Verstoß gegen die DSGVO und verhängte ein Bußgeld von EUR 9,55 Mio.
Auf den Einspruch von 1&1 entschied das Landgericht Bonn am 11. November 2020, dass das Bußgeld gegen das Unternehmen zwar dem Grunde nach, jedoch nicht der Höhe nach berechtigt sei. Es setzte dieses auf EUR 990.000,00 (und damit um fast 90 %) herab.
Die Fragestellungen
Gegenstand der Entscheidung des LG Bonn war nicht nur die Höhe des gegen 1&1 verhängten Bußgeldes. Erstmals befasste sich ein Gericht auch mit der Frage, unter welchen Voraussetzungen ein Unternehmen für Verstöße seiner Mitarbeiter gegen die DSGVO haftet:
Verbandshaftung
Das Gericht entschied, dass die DSGVO eine unmittelbare Verbandshaftung vorsehe. Diese mache einen Rückgriff auf das deutsche Ordnungswidrigkeitenrecht, insbesondere die Vorschriften der §§ 30, 130 OWiG inklusive des Erfordernisses der Pflichtverletzung durch eine Leitungsperson, entbehrlich.
Nach dem deutschen Ordnungswidrigkeitengesetz (OwiG) haften Unternehmen nur dann für Verstöße ihrer Mitarbeiter, wenn Leitungspersonen ihren Aufsichts- und Kontrollpflichten nicht ausreichend nachgekommen sind (sog. Rechtsträgerprinzip).
Obwohl das Bundesdatenschutzgesetz auf die Vorschriften der §§ 30, 130 OWiG verweist, ist diese Voraussetzung nach – umstrittener – Auffassung der Bonner Richter nicht auf die DSGVO zu übertragen. Für eine Haftung sei es daher bei datenschutzrechtlichen Verstößen nicht notwendig, dass eine Leitungsperson einen Fehler begeht, an den der Bußgeldbescheid geknüpft werden kann. Das Gericht entschied, dass nach dem europäischen Recht – in Abgrenzung zum deutschen Ordnungswidrigkeitenrecht – bereits der Fehler eines jeden Mitarbeiters die Haftung des Unternehmens und damit ein Bußgeld auslösen kann.
Diesem Grundsatz folgend stellte das LG Bonn fest, dass auch 1&1 für schuldhafte Verstöße auch seiner Callcenter-Mitarbeiter hafte.
Datenschutzrechtlicher Verstoß
Im vorliegenden Fall sei von einem schuldhaften Pflichtenverstoß auszugehen: 1&1 habe Kundendaten nicht durch hinreichend sichere Authentifizierungsverfahren geschützt, sodass es unberechtigten Personen möglich gewesen sei, Kundendaten abzufragen. Zwar sei ein Rechtsirrtum von 1&1 in Bezug auf die Angemessenheit der Schutzmaßnahmen anzunehmen, jedoch sei ein solcher vermeidbar gewesen. Dies ist dann der Fall, wenn Anlass bestanden hat, die mögliche Rechtswidrigkeit der dargestellten Handhabung selbst zu prüfen oder sich in zumutbarer Weise zu erkundigen, und auf diesem Weg zur Unrechtseinsicht zu gelangen.
Bußgeldbemessung
Allerdings stellte das Gericht fest, dass das durch den BfDI angesetzte Bußgeld erheblich zu hoch bemessen sei. Es sei – wie offenbar durch die Bußgeldbehörde nicht geschehen – zu berücksichtigen, dass das Verschulden von 1&1 als gering anzusehen sei. Bei dem Telekommunikationsanbieter habe es im Hinblick auf die über Jahre geübte und unbeanstandet gebliebene Authentifizierungspraxis an dem notwendigen Problembewusstsein gefehlt, zumal es keine klaren Vorgaben für Authentifizierungsprozesse bei Callcentern gebe. Es sei zudem zu berücksichtigen, dass es sich um einen geringen Datenschutzverstoß handele, der eine einzelne Person betraf und nicht zu einer massenhaften Herausgabe von Daten an Nichtberechtigte geführt habe und nicht habe führen können. Vor diesem Hintergrund wurde das durch den BfDI im ersten Schritt verhängte Bußgeld durch das Gericht auf gut 1/10 des ursprünglichen Betrages herabgesetzt.
Fazit
Wenngleich das dargestellte Urteil und die radikale Kürzung des Bußgeldes zeigen, dass die deutschen Datenschutzbehörden das derzeitige „Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen“ überarbeiten sollten, besteht für Adressaten der datenschutzrechtlichen Vorschriften kein Grund zum Aufatmen:
Das Urteil bestätigt, dass auch geringfügige Verstöße gegen die Datenschutzgrundverordnung erhebliche Bußgelder nach sich ziehen können. Denn angesichts der Tatsache, dass der Verstoß nur eine einzelne Person betraf und das Landgericht Bonn das Verschulden von 1&1 als gering ansah, ist ein Bußgeld von EUR 990.000 auch bei einem großen und umsatzstarken Unternehmen als nicht unerheblich zu bewerten. Zudem stellt das Urteil klar, dass Unternehmen – nach nicht unumstrittener Ansicht des Gerichts – auch für geringe und punktuelle Datenschutzverstöße jedes einzelnen Mitarbeiters haften. Auf Versäumnisse der Unternehmensleitung komme es nicht an. Vor diesem Hintergrund muss durch die Behörden auch keine konkret vorwerfbare Handlung oder kein entsprechend vorwerfbares Unterlassen eines bestimmten Mitarbeiters nachgewiesen werden, um eine Sanktion zu verhängen.
Auch wenn insoweit die weitere Entwicklung, insbesondere in der Rechtsprechung, abzuwarten bleibt, zeigt das Urteil doch deutlich:
Die Anforderungen an Datenschutz und IT-Compliance, gerade für Unternehmen, dürften sich – trotz des Fehlens verbindlicher Vorgaben der Behörden – erheblich verschärfen.
Dies bestätigt auch der BfDI in Reaktion auf das dargestellte Urteil: „Kein Unternehmen kann es sich mehr leisten den Datenschutz zu vernachlässigen.“
Damit rückt einmal mehr die Wichtigkeit der Schulung der eigenen Mitarbeiter (nicht nur auf Leitungsebenen) in den Fokus. Dies gilt insbesondere in Zeiten, in denen mobiles Arbeiten das „neue Normal“ wird und sich damit neue Anforderungen an die anzuwendenden technischen und organisatorischen (Compliance-)Maßnahmen stellen, deren Nichtbeachtung besondere Risiken, nicht nur aus datenschutzrechtlicher Sicht, bergen (vgl. hierzu unser Update Datenschutz Nr. 85 vom 2. November 2020).
Gleichwohl sollten Unternehmen ein Vorgehen gegen eine etwaige Geldbuße auch dann intensiv prüfen, wenn sie die materiellen Gründe für die Entscheidung akzeptieren wollen. Denn zumindest aktuell deutet vieles darauf hin, dass die von den Aufsichtsbehörden angewandte Bußgeldberechnung unverhältnismäßig ist.