Wie können DSGVO-Bußgelder um 90 % gekürzt werden?

Urteil

Das Bußgeld gegen den Telefon- und Internetriesen 1&1 Telecom GmbH im Dezember 2019 in Höhe von 9,55 Mio. EUR sorgte zunächst für helle Aufregung in der Datenschutzwelt. Das Landgericht Bonn hat das Bußgeld allerdings auf 900.000 EUR reduziert. Der Bundesdatenschutzbeauftragte Ulrich Kelber ließ nun verlauten, dass er diesen Betrag akzeptiere. Woher kommt dieser Sinneswandel? Wir haben uns das einmal genauer angeschaut.

Aufsichtsbehörden machen Ernst

Noch bevor die DSGVO verbindlich zur Anwendung kam, herrschte mancherorts große Unsicherheit bis blanke Panik ob der bald vorhandenen Möglichkeiten für die Aufsichtsbehörden, bei Datenschutzverstößen Bußgelder in Millionenhöhe verhängen zu können. Inzwischen zeigt sich, dass die Angst vor Bußgeldern durchaus berechtigt war. Während im ersten Jahr der Anwendbarkeit der DSGVO kaum Bußgelder in nennenswerter Höhe bekannt geworden sind, sind Frequenz und Höhe der Bußgelder zuletzt immer größer geworden, wie unter anderem H&M schmerzlich erfahren musste.

Das ist aus datenschutzrechtlicher Sicht absolut positiv zu bewerten. Schließlich zeigt es, dass die DSGVO mehr sein kann als nur ein Papiertiger. Aus dem Berateralltag lässt sich berichten, dass bei vielen Unternehmen ein gutes Datenschutzniveau vorhanden ist. Viel wichtiger ist sogar, dass auch die Sensibilisierung für datenschutzrechtliche Sachverhalte deutlich zugenommen hat. Diese Entwicklung hat gerade im vergangenen Jahr – wohl auch durch rigoroseres Vorgehen der Aufsichtsbehörden – spürbar an Fahrt aufgenommen. Frei nach dem Motto: Wer nicht hören will, muss fühlen!

Auskünfte am Telefon leichtgemacht

Und was hat das mit dem Bußgeld gegen 1&1 zu tun? Dem Unternehmen war vorgeworfen worden, keine hinreichenden technischen und organisatorischen Maßnahmen ergriffen zu haben, um telefonische Anrufer sicher zu authentifizieren. Dagegen hatte sich die 1&1 Telecom GmbH gerichtlich zur Wehr gesetzt. Das Landgericht Bonn hat am 11.11.2020 entschieden, dass das Bußgeld im Grunde zwar berechtigt ist, aber in der Höhe deutlich zu hoch war. Infolgedessen hat das LG das Bußgeld auf 900.000 EUR gesenkt. Oder in anderen Worten: Eine Reduzierung um mehr als 90 Prozent!

Was genau war passiert? Die Urteilsbegründung des LG Bonn ist hier sehr aufschlussreich. Das Ganze kam ins Rollen, weil eine verschmähte Geliebte ihren ehemaligen Lebenspartner gestalkt hatte. Dieser Dame war es gelungen, über das Callcenter von 1&1 die Mobilnummer ihres Ex-Partners herauszufinden. Und das war leider ziemlich einfach! Bei dem Callcenter gab sie sich als Ehefrau des Berechtigten aus und brauchte nichts weiter zu tun, als dessen Namen und Geburtsdatum zu nennen. Und schon konnte das Stalking beginnen. Dass diese Methode der Authentifizierung nicht ausreichend sein kann, dürfte eigentlich niemanden überraschen.

Authentifizierung – oder doch nicht?

Zur Identitätsprüfung hatte die 1&1 Telecom GmbH u. a. folgende interne Vorgaben für ihre Mitarbeiter gemacht:

„Der jeweilige Serviceagent war angehalten, den Anrufenden als Berechtigten zu authentifizieren. Hierzu wurde – soweit dies nicht bereits für den Aufruf des richtigen Datensatzes im Rahmen der Identifizierung erforderlich war – das Geburtsdatum abgefragt.“

Sobald hier bereits eine Authentifizierung erfolgen konnte, war der Anrufer als Berechtigter anzusehen und konnte somit umfassende Auskünfte zu dem jeweiligen Vertragsverhältnis erlangen. Und weiter heißt es:

„Für den Fall, dass für den Callcenter-Agenten erkennbar eine andere Person als der Kunde im Callcenter anrief, hatte die Betroffene keine umfassende Regelung getroffen.“

Dies ist also genau der Fall, den der Bundesdatenschutzbeauftragte bzw. das LG Bonn zu bewerten hatten. Es dürfte sicherlich nicht selten vorkommen, dass andere Personen als der eigentliche Kunde anrufen und Auskünfte verlangen. Wenn man hier als Unternehmen keine klaren Vorgaben macht, werden Missbrauchsversuchen Tür und Tor geöffnet.

Das kleine 1&1 des Datenschutzes

Interessant ist, dass sowohl der Bundesdatenschutzbeauftragte als auch das Gericht elementare Verstöße gegen Art. 32 DSGVO erkannt haben. In Abs. 1 der Vorschrift heißt es:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Vor dem Hintergrund, dass es sich bei den Kundendaten von 1&1 um private Daten des Berechtigten gehandelt hat, sah hier auch das Gericht keinen ausreichenden Schutz vor der Einsichtnahme durch unbefugte Dritte. Die Kombination aus Name und Geburtsdatum war nach Auffassung des Gerichts – vollkommen zu Recht – deutlich zu schwach. Zumindest hätten weitere Merkmale wie zum Beispiel die Vertragsnummer oder eine PIN, welche im Regelfall nur der Berechtigte kennt, abgefragt werden müssen.

Bußgelder und der Ermessensspielraum

Es herrscht also Einigkeit, dass ein Bußgeld dem Grunde nach fällig war. Aber wie kann es sein, dass die Höhe des Bußgeldes derart unterschiedlich beurteilt worden ist? Die Antwort ist hier wohl Art. 83 Abs. 2 S. 2 DSGVO. Nach dieser Vorschrift ist bei der Verhängung eines Bußgelds bei jedem Einzelfall eine Vielzahl von tatbezogenen Umständen zu berücksichtigen. Dazu gehören u. a. Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit des Verstoßes oder auch der Umfang der Zusammenarbeit mit der Aufsichtsbehörde.

Genau diese Vorschrift kam der 1&1 Telecom GmbH hier zu Gute. Nach Ansicht des Gerichts ist vor allem die effektive Zusammenarbeit mit der Aufsichtsbehörde positiv zu bewerten. So habe 1&1 umfangreich bei der Ermittlung des Sachverhalts kooperiert und unmittelbar nach Aufnahme der Ermittlungen reagiert. So war das System der Authentifizierung bereits im Mai 2019 deutlich erweitert worden. Seit diesem Zeitpunkt werden neben dem Namen und dem Geburtsdatum auch die Vertrags- oder Kundennummer sowie die letzten vier Ziffern der hinterlegten Bankverbindung abgefragt. Dies zeigt, dass es grundsätzlich relativ einfach gewesen wäre, den Sicherheitsstandard von vornherein zu erhöhen.

Ist das Bußgeldmodell der DSK am Ende?

Das Urteil enthielt auch noch einen richtigen Paukenschlag. Im Juni 2019 hatte sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) auf ein neues Modell zur Berechnung von Bußgeldern geeinigt. Das ursprüngliche Bußgeld von 9,55 Mio. EUR war offensichtlich nach diesem Modell berechnet worden. Auch andere bekannte Bußgelder, wie z. B. gegen die Deutsche Wohnen SE, kamen so zustande.

Das LG Bonn hat dem Modell nun allerdings eine recht deutliche Abfuhr verpasst. Nach Ansicht des Gerichts ist dieses viel zu abstrakt und in keiner Weise schuldangemessen. Eine Bemessung des Bußgeldes durch Ermittlung eines sich nach dem Umsatz richtenden Grundwertes, welcher je nach Schwere des Datenschutzverstoßes mit einem Faktor multipliziert wird, sei aus diesem Grund und wegen der damit einhergehenden Fokussierung auf den Unternehmensumsatz problematisch. Im Einzelnen führte das Gericht aus:

„Eine solche Bemessungsmethode mag bei Datenschutzverstößen von mittlerem Gewicht zu angemessenen Ergebnissen führen. Sie versagt jedoch bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen, also in denjenigen Fällen, in denen eine maßgeblich am Umsatz orientierte Zumessung in Widerstreit gerät zu der Zumessung anhand der Kriterien in Art. 83 Abs. 2 S. 2 DS-GVO.“

Das Gericht war zudem der Auffassung, dass im vorliegenden Fall eine Vielzahl von mildernden Umständen zu berücksichtigen gewesen sei. So war ausschlaggebend, dass es sich nicht um Daten im Sinne des Art. 9 DSGVO gehandelt hatte. Außerdem sei die Offenlegung der Daten vor allem auf die geschickte Gesprächsführung der scheinbar Berechtigten zurückzuführen gewesen, so dass gerade kein Massendiebstahl von Kundendaten gedroht habe. Daher sei insgesamt eine deutliche Reduzierung des Bußgelds angemessen.

Der Bundesdatenschutzbeauftragte gibt klein bei

Die Argumente des Gerichts lassen sich hier nicht von der Hand weisen. Art. 83 Abs. 2 S. 2 DSGVO legt den Fokus sehr stark auf die tatbezogenen Merkmale. Dies hat zwar den Vorteil, dass stets eine sehr genaue Betrachtung des Einzelfalls möglich ist. Allerdings dürfte dies nicht dazu beitragen, die Rechtssicherheit zu erhöhen.

Insofern ist es nicht überraschend, dass der Bundesdatenschutzbeauftragte mitgeteilt hat, dass alle Beteiligten die Bußgeldhöhe akzeptiert hätten. Im Grunde liegt hierin ein Eingeständnis von Herrn Kelber, dass die Aufsichtsbehörde den Sachverhalt zunächst nicht umfassend gewürdigt hat. Es wird sicherlich spannend sein zu beobachten, ob sich weitere Gerichte der Auffassung des LG Bonn anschließen werden. Auf Grund dieses Urteils ist es nun noch schwerer geworden, verbindliche Aussagen zu einer potentiellen Sanktionshöhe zu treffen. Es ist also besonders wichtig, Datenschutzvorfälle zu vermeiden. Fragen Sie Ihren Datenschutzbeauftragen daher lieber einmal zu viel als zu wenig.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.