DSGVO-Bußgeld gegen 1&1 deutlich gesenkt
Am 11.11.2020 verkündete das Landgericht Bonn als erstes deutsches Gericht ein schon mit Spannung erwartetes Urteil im Fall eines verhängten DSGVO-Bußgeldes. Das Landgericht bestätigte zwar an sich die Rechtmäßigkeit des verhängten Bußgeldes. Der Telekommunikationsanbieter muss allerdings nur einen Bruchteil der ursprünglich verhängten Summe zahlen.
Sachverhalt
Hintergrund des Rechtsstreits war ein Verstoß gegen datenschutzrechtliche Vorgaben durch 1&1. Im Jahr 2018 brachte eine Frau bei der telefonischen Kundenbetreuung des Telekommunikationsunternehmens die neue Mobilfunknummer ihres Ex-Mannes in Erfahrung. Dafür nannte die Frau lediglich den Namen und das Geburtsdatum des Ex-Mannes. Dieses Authentifizierungsverfahren hielt der Bundesdatenschutzbeauftragte Ulrich Kelber, für deutlich zu lückenhaft und bewertete dies als einen grob fahrlässigen Verstoß gegen die Vorgaben der Datenschutzgrundverordnung. Laut Ulrich Kelber habe das Unternehmen keine hinreichenden technischen und organisatorischen Maßnahmen getroffen, um den Zugriff Unberechtigter auf Kundendaten zu verhindern. Die Aufsichtsbehörde ahndete den Verstoß daraufhin mit einem satten Bußgeld in Höhe von 9,6 Millionen Euro. Dagegen legte das Unternehmen Widerspruch ein und begründete dies damit, dass das Bußgeld unverhältnismäßig sei und vor allem gegen das Grundgesetz verstoßen würde. Mit Spannung wurde nun das Urteil in diesem Fall erwartet.
Entscheidung
Im Rahmen der Verhandlung klärte das Landgericht Bonn zunächst eine Grundsatzfrage. Können Unternehmen überhaupt haftbar gemacht werden? Dies wurde durch das Landgericht bejaht und die Geltung des europäischen Unternehmensbegriffes bestätigt. Danach sind Bußgelder gegen Unternehmen nach den Bestimmungen des §§ 30, 130 Gesetz über Ordnungswidrigkeiten möglich.
Im weiteren Schritt bewertete das Landgericht dann auch die Höhe des Bußgeldes. Ein Bußgeld muss nach der DSGVO immer auch eine abschreckende Wirkung haben. Dabei dient die Höhe des Unternehmensumsatzes als erste Orientierung. Daneben sind aber auch die Schwere der Verletzung, die Art, die Dauer, die Wiederholung, die Reaktion des Verantwortlichen und die Umsetzung von Maßnahmen zur Begrenzung sowie weitere Aspekte zu berücksichtigen. Als Konsequenz berücksichtigte das Landgericht mildernde Umstände zugunsten des Unternehmens. Das verhängte Bußgeld in Millionenhöhe sei viel zu hoch und wurde letztlich auf 900.000 € reduziert.
Konsequenz
Das Landgerichts Bonn war das erste Gericht, das über ein Bußgeld in Millionenhöhe zu entscheiden hatte. Mit dem Urteil sorgte es für Klarheit zu zwei grundsätzlichen Themen: Zum einen können Unternehmen tatsächlich haftbar gemacht werden. Zum anderen stellte das Landesgericht Grundsätze dar, die bei der Bewertung eines Bußgeldes herangezogen werden müssen.