Das erste Urteil eines deutschen Gerichts gegen ein DSGVO-Bußgeld liegt vor! Mit Urteil vom 11.11.2020 (Az. 29 OWi 1/20 LG) hat das Landgericht Bonn über ein DSGVO-Millionenbußgeld entschieden. Streitgegenständlich war eine Geldbuße in Höhe von 9,55 Millionen Euro, die im Dezember 2019 auf Veranlassung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber gegen den Telekommunikationsdienstleister 1&1 ergangen war, weil ein Mitarbeiter im Callcenter einen Datenschutzverstoß begangen hatte.

Der Verhängung des Bußgeldes lag folgender Sachverhalt zugrunde: Im Jahr 2018 hatte ein Mitarbeiter des Callcenters von 1&1 einer Frau die Handynummer ihres Ex-Mannes herausgegeben. Im Rahmen des Authentifizierungsverfahrens hatte es genügt, dass die Frau dessen Namen und das Geburtsdatum nennen konnte. Die Handynummer wurde von der Frau benutzt, um ihren Ex-Mann zu stalken.

Aus der Sicht der Aufsichtsbehörde lag mit der Anwendung dieses Authentifizierungsverfahrens ein systematischer Verstoß gegen die Sicherheit der Datenverarbeitung nach Art. 32 DSGVO vor. Nach dieser Bestimmung der DSGVO müssen von jedem Verantwortlichen und jedem Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen werden, um für personenbezogene Daten ein angemessenes Schutzniveau zu gewährleisten.

1&1 hatte sich gegen den Bußgeldbescheid zur Wehr gesetzt und unter anderem moniert, dass es sich lediglich um einen Einzelfall gehandelt habe und also eben keine systemische Ursache für die eingetretene Datenschutzverletzung vorliege; darüber hinaus sei die Höhe des Bußgeldes unverhältnismäßig.

Was hat das Landgericht entschieden?

Das LG Bonn hat die Verhängung eines Bußgeldes dem Grunde nach für gerechtfertigt gehalten, weil das angewendete Authentifizierungsverfahren unzureichend war und folglich ein Datenschutzverstoß vorliege; es wurden insoweit im Ergebnis keine geeigneten technischen und organisatorischen Maßnahmen getroffen, um die personenbezogenen Daten von Kunden zu schützen.

Der Höhe nach wurde der Bußgeldrahmen jedoch erheblich-, nämlich auf den Betrag von 900.000 Euro reduziert. Das LG Bonn hat hierbei unter anderem darauf abgestellt, dass die Authentifizierungspraxis in der Vergangenheit noch nicht beanstandet worden sei, weswegen beim Dienstleister ein entsprechendes Problembewusstsein gefehlt habe, außerdem fehle es generell an datenschutzrechtlichen Vorgaben für Callcenter, so dass der eingetretene Rechtsverstoß verständlich sei.

In den Entscheidungsgründen wurde vom LG Bonn außerdem ausdrücklich klargestellt, dass es keinen Unterschied mache, ob der Datenschutzverstoß von einer Führungsperson verursacht wurde oder von einem Mitarbeiter. Der Verstoß durch einen Mitarbeiter reicht für die Haftung nach der DSGVO (!). Gemäß § 41 BDSG findet das Gesetz über Ordnungswidrigkeiten (OWiG) zwar auf DSGVO-Bußgelder entsprechende Anwendung und nach dem OWiG sind Bußgelder gegen Unternehmen nur zulässig, wenn eine Person aus der Unternehmensleitung einen Verstoß selbst begangen- oder Aufsichtspflichten verletzt hat. Anders als das deutsche Gesetz über Ordnungswidrigkeiten enthält die DSGVO aber keine Bestimmungen über die Zurechenbarkeit von Datenschutzverstößen. Damit könne nach der europäischen Rechtsgrundlage auch jedweder Verstoß sanktioniert werden.

Was bedeutet das Urteil in der Praxis?

1. Es kann sich lohnen, sich gegen aufsichtsbehördliche Maßnahmen zur Wehr zu setzen. Insofern wurden vom Gericht gleich eine ganze Bandbreite von Argumenten angeführt, die geeignet sind, einen behördlicherseits verhängten Bußgeldrahmen zu senken. Ein ganz überwiegend umsatzorientiertes Bußgeldkonzept, welches von der Bundesbehörde angewendet wurde, lässt nach Auffassung des Gerichts wesentliche Bemessungskriterien außer Acht (Schwere der Verletzung, die Dauer, die Wiederholung, die Umsetzung von Maßnahmen zur Risikominimierung etc.).

2. Jeder Datenschutzverstoß, der von einem Mitarbeiter begangen wird, kann ein Bußgeld für das Unternehmen zur Folge haben.  Auf den Umgang Ihrer Mitarbeiter mit personenbezogenen Daten ist folglich besonderes Augenmerk zu legen.

Zur Vermeidung von Datenschutzverstößen überprüfen Sie auch in angemessenen Abständen Ihre unternehmensinternen Prozesse und finden Sie so mögliche Schwachstellen im Bereich Datenschutz und Datensicherheit.

Wie lautet unsere Handlungsempfehlung?

Prüfen Sie den Schulungsgrad und das Schulungsangebot für Ihre Mitarbeiter. Gibt es z.B. ein Informationsangebot, dass den Mitarbeitern jederzeit zur Verfügung steht (z.B. Datenschutzhandbuch, FAQ´s)? Etablieren Sie außerdem ein Verfahren zur regelmäßigen Überprüfung und Weiterentwicklung Ihres Datenschutzmanagementsystems.

Bei Fragen zur Einbindung von Datenschutzzielen in ein (bestehendes) Managementsystem oder bei Fragen zur Mitarbeiterschulung unterstützt GROSS Rechtsanwaltsgesellschaft mbH gerne.

Autor: GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pixabay