Bußgelder bei Verstößen sind im Zusammenhang mit dem Datenschutz ein bestimmendes Thema. Die Bußgeldhöhen von bis zu 4 Prozent des Jahresumsatzes oder 20 Mio. Euro sollen dafür sorgen, die Motivation der Verantwortlichen zu erhöhen, die datenschutzrechtlichen Regelungen eingehalten. Im Fall der 1&1 Telecom GmbH wurde nun ein Bußgeld von 9,55 Mio. Euro durch das Landgericht Bonn auf 900.000 Euro gekürzt. Wie ist so eine Kürzung möglich und wie konnte es dazu kommen?

Der Sachverhalt

Die Datenschutzbehörde hat das Bußgeld aufgrund unzureichender technischer und organisatorischer Maßnahmen erlassen, also ein Verstoß gegen Art. 32 DSGVO.

Aus der Urteilsbegründung des LG Bonn lässt sich herauslesen, dass eine Stalkerin es geschafft hat, die Telefonnummer eines Kunden der 1&1 Telecom GmbH über die Servicenummer zu erfahren. Zur Authentifizierung hat sie dabei lediglich Name und Geburtsdatum des Geschädigten angeben müssen.

Die Aufsichtsbehörde war der Meinung, dass diese Informationen zur sicheren Authentifizierung nicht ausreichend sind, da man nach der Authentifizierung umfassende Auskünfte über den Kunden einholen kann.

Zudem wurden für die Mitarbeiter des Servicecenters keine Regelungen getroffen, was zu tun ist, wenn eine erkennbar andere Person als der Kunde im Callcenter anruft.

Sowohl die Aufsichtsbehörde als auch, im vorliegenden Urteil, das LG Bonn kommen zu dem Schluss, dass ein Verstoß dem Grunde nach vorliegt. Uneinigkeit liegt hier nur bei der Meinung über die Höhe des Bußgeldes vor.

Warum wurde das Bußgeld gekürzt?

Gem. Art 83 Abs. 2 DSGVO sind bei der Ermittlung von Bußgeldern viele Faktoren wie Art, Schwere und Dauer des Verstoßes, aber auch die Mitarbeit und Kooperation des Verantwortlichen bei der Aufklärung zu berücksichtigen. Das heißt die Aufsichtsbehörden haben einen gewissen Ermessensspielraum.

2019 haben die Datenschutzaufsichtsbehörden ein neues Berechnungsmodell für Bußgelder vorgestellt und wenden dieses seitdem auch an. Dabei wird insbesondere der Jahresumsatz zur Berechnung zu Grunde gelegt. Das LG Bonn hat bei der Bußgeldberechnung durch dieses Modell kritisiert, dass im vorliegenden Falls insbesondere die Zusammenarbeit mit der Aufsichtsbehörde nicht ausreichend berücksichtigt worden ist. Außerdem seien im vorliegenden Fall weitere mildernde Umstände nicht berücksichtigt worden, wie z. Bsp., dass keine Giftschrankdaten vom Vorfall betroffen waren und dass hier lediglich die Daten eines Kunden unberechtigt an Dritte weitergegeben wurden

In seinem Urteil hat das Gericht dem neuen Berechnungsmodell insgesamt auch kein gutes Zeugnis ausgestellt, da insbesondere leichte Verstöße von umsatzstarken Unternehmen oder schwere Verstöße von umsatzschwachen Unternehmen nicht angemessen bewertet werden. In diesen Aussagen findet sich sozusagen eine Absage an das neue Bußgeldberechnungsmodell.

Letztendlich kam das LG Bonn auf Grundlage dieser Einschätzungen zu dem Ergebnis, dass im vorliegenden Fall ein Bußgeld von 900.000 EUR anstatt 9,55 Mio. EUR angemessen ist.

Fazit

Die Begründung des Gerichts ist durchaus in vielen Punkten nachvollziehbar, was auch durch den Umstand, dass der Bundesdatenschutzbeauftragte das Urteil und die Bußgeldhöhe akzeptiert hat, untermauert wird.

Zukünftig wird dies vermutlich bedeuten, dass das umsatzorientierte Bußgeldberechnungsmodell auch durch weitere Gerichtsentscheidungen nicht akzeptiert wird. Das Ziel der Aufsichtsbehörden die Bußgeldberechnung für Verantwortliche nachvollziehbarer zu machen, wäre damit verfehlt.

Diese Entscheidung bedeutet grundsätzlich nicht, dass Bußgelder zukünftig immer niedriger ausfallen müssen. Es heißt lediglich, dass die weiteren Umstände neben dem Umsatz noch intensiver in die Berechnung mit einfließen müssen. Dies kann sowohl zu niedrigeren als auch höheren Bußgeldern führen.