Neues zum Datenschutzrecht
11.12.2020
Vom BfDI verhängtes Bußgeld i.H.v. 9,55 Mio. Euro vom LG Bonn auf 900.000 Euro „reduziert“
Das Landesgericht Bonn (LG Bonn) hat mit Entscheidung vom 11.11.2020 (Az. 29 OWi 1/20) ein vom Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH verhängtes Bußgeld dem Grunde nach bestätigt, aber von 9,55 Mio. Euro auf 900.000 Euro herabgesetzt (s. Pressemitteilung des LG Bonn).
Hintergrund
Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) hatte gegen einen Telekommunikationsdienstleister wegen eines unzureichenden Authentifizierungsverfahrens und damit wegen eines Verstoßes gegen Art. 32 Abs. 1 DSGVO (Datensicherheit) eine Geldbuße in Höhe von 9,55 Mio. Euro verhängt (s. Datenschutz-News v. 9.12.2019).
Im konkreten Fall war es möglich, bei einem Anruf bei der Kundenbetreuung allein durch Angabe des Namens und des Geburtsdatums eines Kunden weitere personenbezogenen Kundeninformationen zu erhalten. Diese Art und Weise, Kunden vor einer Auskunft zu authentifizieren, verstieß gegen die datenschutzgesetzliche Pflicht, angemessene technische und organisatorische Maßnahmen zu treffen.
Der BfDI blieb laut seiner
Pressemitteilung im unteren Bereich des möglichen Bußgeldrahmens, weil sich das Telekommunikationsunternehmen „einsichtig und äußerst kooperativ“ zeigte. In einem ersten Schritt wurde das Authentifizierungsverfahren durch die Abfrage zusätzlicher Angaben zumindest etwas verbessert. In einem zweiten – noch nicht abgeschlossenen – Schritt wird in Absprache mit dem BfDI ein gänzlich neues, technisch und datenschutzrechtlich angemessenes Authentifizierungsverfahren eingeführt. Ungeachtet der Einsicht und Kooperation des Telekommunikationsunternehmens, die im Rahmen der Bußgeldbemessung positiv berücksichtigt worden sind, sah der BfDI ein Bußgeld in Höhe von 9,55 Mio. Euro als geboten an. Es handelte sich weder um einen Einzelfall noch war lediglich ein kleiner Teil an Kundendaten betroffen. Vielmehr lag ein systematischer Mangel vor, der ein Risiko für den Gesamtbestand der Kundendaten darstellte (s. Datenschutz-News v. 9.12.2019). Das Telekommunikationsunternehmen ist gegen den Bußgeldbescheid gerichtlich vorgegangen.
Entscheidung des Gerichts
Das LG Bonn hat das im Bescheid der Aufsichtsbehörde auf 9,55 Millionen € festgelegte Bußgeld dem Grunde nach bestätigt. Das seinerzeit eingesetzte Authentifizierungsverfahren genüge nicht den Anforderungen der DSGVO. Allerdings muss das Telekommunikationsunternehmen nach der Entscheidung des Gerichts nur noch 900.000,00 € statt der ursprünglichen Summe von 9,55 Mio. Euro zahlen. Das Gericht sah anders als der BfDI nur einen geringeren Datenschutzverstoß, der nicht zur „massenhaften Herausgabe von Daten an Nichtberechtigte“ geführt habe. Zudem wurde die über Jahre ausgeführte Authentifizierungspraxis bis zu diesem Vorfall nie beanstandet. Das Verschulden des Telekommunikationsunternehmens sei daher insgesamt als gering zu bewerten.
Hinweise für die Praxis
Der Fall zeigt, wie unterschiedlich eine Bußgeldbemessung bzw. deren Bewertung bei Verstößen gegen das Datenschutzrecht ausfallen kann. Für eine weitere Beurteilung bleibt die Urteilsbegründung abzuwarten, die bislang noch nicht veröffentlicht wurde. Hier sollen auch kritische Ausführungen zum umsatzorientierten Bemessungsansatz im Bußgeldkonzept der deutschen Datenschutzaufsichtsbehörden zu finden sein (zum Bußgeldkonzept s.
Datenschutz-News v. 18.10.2019).
UPDATE 6.1.2021: Das Urteil kann jetzt hier abgerufen werden.
Sollten Sie Fragen zur Verhängung von Bußgeldern, datenschutzaufsichtsbehördlichen Prüfungen oder sonstigen datenschutzrechtlichen Themen wie angemessene technische und organisatorische Maßnahmen oder die Bestellung eines Datenschutzbeauftragten haben oder insoweit Unterstützung benötigen, können Sie mich gerne
kontaktieren.