Das vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH verhängte DSGVO-Bußgeld ist grundsätzlich richtig, aber unangemessen hoch, so das Landgericht (LG) Bonn in seinem Urteil vom 11. November 2020 (Az.: 29 OWi-430 Js-OWi 366/20- 1/20). Das drastisch verringerte Bußgeld sollten Verantwortliche jedoch nicht als pauschale Erleichterung verstehen. Denn die Richter stellten auch eine für Deutschland ungewohnte Auswirkung der DSGVO klar.
Hintergrund des Verfahrens
Der BfDI hatte den Telekommunikationsdienstleister 1&1 Telecom GmbH im Dezember 2019 mit einer Geldbuße von 9,5 Millionen Euro belegt (activeMind berichtete). Hintergrund waren Mängel in den Datensicherheitsmaßnahmen, die dazu führten, dass Unbefugte über das vom Unternehmen eingesetzte Callcenter mit recht wenig Aufwand an personenbezogene Daten anderer Kunden gelangen konnten.
Gegen den Bußgeldbescheid legte der Telekommunikationsdienstleister Einspruch ein, weshalb die Sache vor der 9. Kammer für Bußgeldsachen des LG Bonn verhandelt wurde.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das Urteil
Die Richter des LG Bonn urteilten, dass grundsätzlich ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) vorliege. Dieser sei aber nicht sehr schwer und habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können. Zudem sei das Verschulden der 1&1 Telecom GmbH gering, da die bis zu dem Bußgeldbescheid nicht beanstandete Authentifizierungspraxis seit Jahren ausgeübt worden sei. Es habe deshalb an dem notwendigen Problembewusstsein gefehlt.
Datenschutzrechtliche Einschätzung
Die Urteilsbegründung des LG Bonn liegt noch nicht vor. Einige wesentliche Punkte sind aber bereits jetzt klar:
- Bei mangelhaften technischen und organisatorischen Maßnahmen sind Bußgelder möglich. Das ist seit Geltung der DSGVO nicht neu und war nicht anders zu erwarten.
- Aus deutscher Sicht aber interessant: Es ist nach Europäischem Recht nicht erforderlich, dass sich der Verstoß dem Management oder einer anderen verantwortlichen Person zurechnen lässt. Im Bereich der DSGVO läuft dies also anders als sonst. Grundsätzlich haften Unternehmen nach deutschem Recht nämlich nur, wenn der Verstoß eines beliebigen Mitarbeiters dem Unternehmen auch zurechenbar ist. Dieser Umstand führte in mancher Führungsetage bisher zu einer gewissen Gelassenheit. Nun ist klar, für Entspannung gibt es keinen Grund. Im Bereich der DSGVO gilt die „Verbandshaftung“; das Unternehmen ist als solches in der Pflicht und damit haftbar für Verstöße in seinem Bereich. Es kommt nicht darauf an, dass sich ein Verschulden auf die Chefetage zurückführen lässt.
- Es lohnt sich ggf. gegen Bußgeldbescheide vorzugehen. Das Bußgeld wurde im Urteil drastisch verringert, ist aber mit 900.000 Euro immer noch spürbar. Das Gericht teilt die in der Praxis bereits oft diskutierte Auffassung, dass eine statische Koppelung der Buße allein an den Umsatz eines Unternehmens dem Verstoß nicht gerecht wird. Eben dies ist aber beim aktuellen Modell der Aufsichtsbehörden der Fall.
Vor allem der zweite Punkt sollte von allen Verantwortlichen sehr ernst genommen werden. Wer personenbezogene Daten verarbeitet, hat fast wie bei einer Garantie dafür gerade zu stehen, dass der Datenschutz beachtet wird. Auf die persönliche Schuld eines Managers oder anderen Verantwortlichen kommt es im Rahmen der Bußgeldverhängung gegen das Unternehmen oder die sonst verantwortliche Stelle nicht an.
Lediglich bei der zusätzlichen Frage, ob das Unternehmen einen Schadensersatz gegen den schlampigen Manager hat oder dieser wegen des Verstoßes gegen die Compliance persönlich Adressat eines Bußgeldes wird, kommt es auf die individuelle Vorwerfbarkeit noch an.