Das LG Bonn hat das erste Urteil eines deutschen Gerichts zu einem DSGVO-Millionenbußgeld verkündet. Anstatt über neun Millionen Euro muss der Telekommunikationsanbieter allerdings nur einen Bruchteil davon zahlen.
Das Landgericht (LG) Bonn hat am Mittwoch ein mit Spannung erwartetes Urteil verkündet: Die 1&1 Telecom GmbH sollte eigentlich ein Bußgeld in Höhe von 9,55 Millionen Euro zahlen. Dagegen hatte sich der Telekommunikationsdienstleister allerdings gewehrt – und zwar erfolgreich. Die neunte Kammer des Gerichts hat entschieden, dass das verhängte Bußgeld zwar dem Grunde nach berechtigt, gleichzeitig aber auch unangemessen hoch ist (Urt. v. 11.11.2020 Az. 29 OWi 1/20 LG). Sie hat den Betrag daher auf 900.000 Euro herabgesetzt.
Anlass zur Entscheidung gab ein Datenschutzverstoß bei dem Unternehmen aus Montabaur. Im Jahr 2018 hatte eine Frau bei der 1&1-Hotline angerufen und bekam die neue Handynummer ihres Ex-Mannes heraus. Die Frau hatte nur seinen Namen und sein Geburtsdatum genannt und vom Callcenter-Agenten die Nummer durchgesagt bekommen. Dieses Authentifizierungsverfahren hielt der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) für zu löchrig und sah darin einen grob fahrlässigen Verstoß gegen Art. 32 der Datenschutzgrundverordnung (DSGVO). Er verhängte die Millionenbuße. Dagegen war die Firma vor Gericht gezogen.
Irrtum zwar verständlich, aber vermeidbar
Die DSGVO schreibt vor, dass Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müsen, um die Verarbeitung personenbezogener Daten systematisch zu schützen. 1&1 räumte den Datenschutzverstoß ein, stellte ihn aber als Einzelfall dar - und eben nicht als ein systematisches Problem. Zudem sei die von Kelber verhängte Geldbuße unverhältnismäßig hoch.
Von diesen Argumenten ließ sich das Gericht nun zum Teil überzeugen. Es befand, dass zwar ein Datenschutzverstoß vorliege, es sich aber nur um einen geringen Verstoß handle, der nicht "zur massenhaften Herausgabe von Daten an Nichtberechtigte" habe führen können. Da die über Jahre bei 1&1 geübte Authentifizierungspraxis bis zu dem nun verschichten Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt, so das Gericht. Außerdem sei der Rechtsirrtum, in dem sich 1&1 befunden habe, zwar vermeidbar, aber auch verständlich gewesen, da es an verbindlichen Vorgaben für Callcenter fehle.
Weiterhin hat die Kammer entschieden, dass das anwendbare europäische Recht nicht erfordere, dass konkret festgestellt werden muss, dass eine Leitungsperson des Unternehmens gegen Regelungen verstoßen hat, um ein Bußgeld verhängen zu können. Denn grundsätzlich haften Unternehmen nur für Verstöße von Mitarbeitern, die dem Unternehmen auch zurechenbar sind. Wann das der Fall ist, dazu enthält die DSGVO - im Gegensatz zum deutschen Ordnungswidrigkeitengesetz - keine Regelung.
vbr/LTO-Redaktion
Mit Materialien der dpa
LG Bonn zum Verstoß gegen die DSGVO: . In: Legal Tribune Online, 11.11.2020 , https://www.lto.de/persistent/a_id/43399 (abgerufen am: 05.10.2024 )
Infos zum Zitiervorschlag