Erstes DSGVO-Bußgeld reduziert

Eine schlechte Quote für Herrn Ulrich Kelber, den Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI), der die Aufsicht über deutsche Telekommunikationsunternehmen führt. Herr Kelber verhängte gegen den 1&1-Drillisch-Konzern Ende des Jahres 2019 wegen Verstoßes gegen die DSGVO ein Bußgeld in Höhe von € 9,55 Mio und damit in Rekordhöhe bezogen auf die Bundesrepublik. Doch auf eine Premiere folgt die nächste. Das erste Bußgeld in derartiger Höhe wurde Gegenstand der ersten Entscheidung eines deutschen Gerichts über Bußgelder wegen DSGVO-Verstößen. Nach der Entscheidung des LG Bonn vom 11.11.2020 bleibt vom ersten Millionen-Bußgeld nicht viel übrig. Aus € 9,55 Mio. wurden gerade einmal noch € 900.000,-.

Was war geschehen?

Eine Liebesbeziehung war auseinandergegangen. Die Frau stellte ihrem Ex-Partner nach. Zu diesem Zweck kontaktierte sie das Callcenter von 1&1, um die neue Telefonnummer ihres Ex-Partners zu erfahren. Sie gab sich dabei als seine Ehefrau aus und legitimierte sich lediglich mit Namen und Geburtsdatum ihres Ex-Partners, der Kunde bei 1&1 war. Das Callcenter gab die neue Nummer heraus. Der Ex-Partner erstattete Strafanzeige wegen Nachstellung gegen seine ehemalige Lebensgefährtin und brachte damit auch Ermittlungen gegen den Telekommunikationsdienstleister ins Rollen.

Das Resultat war das verhängte Bußgeld in Höhe von fast € 10 Mio. wegen Verstößen gegen Art. 32 DSGVO. Das praktizierte Legitimationsverfahren entspreche nicht dem Stand der Technik. Mit seiner Entscheidung vom 11.11.2020 schließt sich das LG Bonn dem zwar dem Grunde nach an und hebt den Bußgeldbescheid nicht auf. Es beurteilt die Höhe des Bußgelds jedoch als unangemessen hoch und stellt die Berechnungsmethode des BfDI grundlegend in Frage.

Wie werden die Bußgelder bislang berechnet?

Die DSGVO macht nur vage Vorgaben zur Bemessung von Bußgeldern. Maßgeblich sind die Umstände des Einzelfalles, insbesondere die Schwere des Verstoßes und der Zweck des Bußgelds. Dieses muss „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein (Art. 83 DSGVO). Die Datenschutzkonferenz (DSK) hat daher ein Bußgeldkonzept erarbeitet. Demnach wird ein Tagessatz auf der Grundlage des Vorjahresumsatzes ermittelt. Je nach Schwere der Schuld wird das Resultat mit einem Faktor zwischen 1 und 4 (in ganzen Zahlen) multipliziert. Nach diesem Modell wurde das Bußgeld gegen den 1&1-Drillisch-Konzern verhängt.

Das Berechnungsmodell war von Anfang an verbreiteter Kritik ausgesetzt. Das LG Bonn nutzte nun die Gelegenheit, um sich dieser Kritik anzuschließen. Das geringe Verschulden im vorliegenden Fall rechtfertigte die veranschlagte Höhe des Bußgeldes nicht. Das praktizierte Legitimationsverfahren sei über Jahre hinweg nicht beanstandet worden, sodass verständlich sei, dass das notwendige Problembewusstsein innerhalb des Unternehmens fehlte. So lag ein zwar vermeidbarer, aber auch nachvollziehbarer Rechtsirrtum vor. Auch sei der Umfang des Verstoßes eingeschränkt. Sensiblere Daten wie Einzelverbindungsnachweise und Verkehrsdaten seien auf der Grundlage des streitgegenständlichen Legitimationsverfahrens nicht herausgegeben worden. Außerdem sei keine massenhafte Herausgabe von Daten ermöglicht worden. Daher sei Ein Bußgeld nur in Höhe von rund € 900.000,00 gerechtfertigt.

Damit teilt das LG Bonn mit, dass das Berechnungsmodell des DSK den Umständen des Einzelfalles nicht gerecht wird. Es erweist sich somit als ungeeignet zur Bemessung von Bußgeldern. Herr BfDI Kelber wird seine Bemessungspraxis demzufolge ändern müssen.

Bemerkenswert an der Entscheidung des LG Bonn ist schließlich auch, dass demnach die Verhängung eines Bußgeldes wegen Verstoßes gegen die DSGVO nicht davon abhängt, dass eine Leitungsperson des Unternehmens nachweisbar an dem Rechtsverstoß beteiligt war. Die § 30 Abs. 1, § 130 OWiG finden demnach keine Anwendung. Es reiche aus, dass der Verstoß durch Mitarbeiter der Unternehmens begangen und dem Unternehmen zurechenbar ist. Wann im Einzelfall eine solche Zurechenbarkeit vorliegt, führt das LG Bonn leider nicht näher aus.