Am 09.12.2019 verhängte der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) gegenüber der 1&1 Telecom GmbH ein Bußgeld in Höhe von 9,55 Mio. €. Nach Einspruch gegen den Bußgeldbescheid hatte das Landgericht Bonn über die Sache zu entscheiden. Die 9. Große Strafkammer des Landgerichts Bonn bestätigte zwar mit Urteil vom 11.11.2020 (Az.: 29 OWi 430 Js-OWi 366/20-1/20) das Vorliegen eines Datenschutzrechtsverstoßes und die Verantwortlichkeit von 1&1, reduzierte das Bußgeld aber ganz erheblich, und zwar um ca. 90% auf 900.000,00 €.
Was war geschehen?
Ausgangspunkt für das Bußgeldverfahren und das sich anschließende Gerichtsverfahren ist ein Vorfall aus dem Jahr 2018. Dabei gelang es einer Frau durch einen einfachen Anruf bei dem Callcenter der 1&1 Telecom GmbH die Handynummer ihres Ex-Ehemannes zu erhalten. Dem Callcenter genügte es, dass die Frau den Namen und das Geburtsdatum ihres Ex-Ehemannes angab. Die erhaltenen Informationen nutzte die Frau dazu, ihren Ex-Ehemann mit Anrufen zu schikanieren, woraufhin sie wegen Nachstellung (Stalking) bezichtigt wurde.
Nach Aufdeckung des Sachverhalts durch das BfDI sah dieses bei 1&1 ein unzureichendes technisch-organisatorisches Authentifizierungsverfahren gegeben. Nach Auffassung des BfDI sicherte das Verfahren nicht, dass personenbezogene Daten an unbefugte Dritte anstelle des Vertragsinhabers gelangten. Dass die bloße Angabe von Namen und Geburtsdatum beim Callcenter zur Informationserlangung ausreichten, stelle einen grob fahrlässigen Verstoß gegen Artikel 32 Datenschutz-Grundverordnung (DSGVO) dar. Der BfDI verhängte ein Bußgeld i.H.v. 9,55 € Mio.
1&1 gelobte Besserung durch die Entwicklung einer umfangreicheren Authentifizierung, bemängelte jedoch die Höhe des Bußgelds als unverhältnismäßig sowie dessen Umsatzbezug und legte Einspruch gegen den Bußgeldbescheid ein, so dass es zum Hauptverfahren vor dem Landgericht Bonn kam.
Was hat das Landgericht Bonn entschieden?
Die 9. Große Strafkammer des Landgerichts Bonn entschied, dass das Bußgeld dem Grunde nach berechtigt sei, da es Dritten auf einfache Art gelingen könne, an personenbezogene Daten zu kommen, jedoch nur an allgemeine Daten, nicht an sensible Daten, wie z.B. Einzelverbindungsnachweise, Kontodaten usw.; hier habe es bei 1&1 ein fehlendes Problembewusstsein gegeben.
Unter anderem führte das Gericht aus, dass die Haftung von Unternehmen nicht davon abhänge, dass der konkrete Verstoß von einer sogenannten „Leitungsperson“ begangen werde; es reiche vielmehr aus, dass ein nicht leitender (einfacher) Mitarbeiter gehandelt habe.
Aus rechtlicher Sicht sind zwei relevante Punkte besonders hervorzuheben:
Zum einen geht um die Zurechnung für das Verhalten von Unternehmensmitarbeitern bzgl. der haftenden Unternehmen. In dem allgemeinen deutschen Ordnungswidrigkeitenrecht gilt mit § 30 Abs. 1 Ordnungswidrigkeitengesetz (OWiG) der Grundsatz, dass gegen diese Bußgelder verhängt werden können, wenn eine Person mit Leitungsfunktion eine Straftat oder Ordnungswidrigkeit begangen hat, durch die Pflichten, welche die juristische Person oder die Personenvereinigung treffen, verletzt worden sind oder diese bereichert wurden.
Das Landgericht Bonn ist der Ansicht, dass bei der Bußgeldverhängung nach DSGVO das Handeln einer Leitungsperson nicht notwendig sei, da die Haftungstatbestände, also das materielle Bußgeldrecht in der DSGVO abschließend geregelt worden sei, so dass dem nationalen Gesetzgeber nur noch die Regelungshoheit über die das formelle Bußgeldrecht verbliebt. Dies folge aus dem Anwendungsvorrang des europäischen Rechts. Der hier relevante Artikel 83 DSGVO enthalte insoweit keine dem § 30 OWiG entsprechende Regelung.
Zum anderen stellte das Landgericht Bonn die umsatzbezogene Bemessung des Bußgelds in Frage. Die rein umsatzbezogene Bußgeldberechnung nach dem Bußgeldkonzept der Datenschutzkonferenz (DSK) sei unverhältnismäßig. Zwar sei der Umsatz ein Indikator, dürfe jedoch nicht alleine berücksichtigt werden. Der Umsatz sei kein Zumessungsgesichtspunkt nach Artikel 83 Abs. 2 DSGVO.
Was folgt aus dem Urteil für die Praxis?
Die von dem Landgericht Bonn vertretene Ansicht, dass einem Unternehmen Verstöße aller Mitarbeiter und Mitarbeiterinnen, unabhängig von Funktion und Verantwortung, zugerechnet werden, bringt ein hohes Haftungsrisiko mit sich. Zugleich zwingt diese Feststellung dazu, die Prozesse im Unternehmen umfassend so auszugestalten, dass das Risiko von Datenschutzverstößen reduziert wird. Dazu gehören neben der Etablierung eines funktionierenden Datenschutzmanagementsystems insbesondere Schulungen und Sensibilisierungen aller Mitarbeiter und Mitarbeiterinnen.
Sie haben Fragen zum Thema Datenschutzrecht? Schreiben oder sprechen Sie uns gerne an!
Ihr Ansprechpartner: Dr. Baran Kizil, LL.M.
