LG Bonn reduziert gegen 1&1 verhängtes DS-GVO-Bußgeld

Das Landgericht Bonn hat das Bußgeld, dass der Bundesdatenschutzbeauftragte gegen die 1&1 Telecom GmbH wegen Verstoßes gegen die DS-GVO verhängt hatte, deutlich herabgesetzt. Zwar sei das Bußgeld dem Grunde nach berechtigt, so das Gericht. Es sei mit 9,55 Millionen Euro aber deutlich zu hoch bemessen und auf 900.000 Euro herabzusetzen.

Auslöser war Strafanzeige wegen "Stalking"

Die ehemalige Lebensgefährtin eines 1&1-Kunden war über das Callcenter des Telekommunikationsdienstleisters an dessen neue Telefonnummer gelangt – sie hatte sich als dessen Ehefrau ausgegeben und sich lediglich mit Namen und Geburtsdatum des Kunden legitimieren müssen. Die Telefonnummer nutzte die Ex-Partnerin, um ihren Ex-Freund telefonisch zu belästigen. Dieser stellte schließlich eine
Strafanzeige wegen Nachstellung ("Stalking").

Behörde verhängte Bußgeld wegen grober Fahrlässigkeit

Wegen der Herausgabe der Telefonnummer verhängte der Datenschutzbeauftragte im November 2019 gegen 1&1 besagtes Millionen-Bußgeld. Es liege ein grob fahrlässiger Verstoß gegen Art. 32 Abs. 1 DS-GVO vor. Die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern gewährleiste keinen ausreichenden Schutz für die Daten im Callcenter. Der Telekommunikationsdienstleister legte gegen den Bußgeldbescheid Einspruch ein.

Verstoß einer Leitungsperson nicht erforderlich

Die Verhängung eines Bußgelds gegen ein Unternehmen hänge nicht davon ab, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde, stellt das LG zunächst klar. Das seiner Auffassung nach anwendbare europäische Recht stelle – anders als das deutsche Ordnungswidrigkeitenrecht – kein entsprechendes Erfordernis auf.

Kein hinreichend sicheres Authentifizierungsverfahren

In der Sache liege ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sogenannten Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie beispielsweise die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten auf diesem Wege indes nicht abgefragt werden können. Die Betroffene habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern sei dieser Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.

Verschulden des Telekommunikationsdienstleisters gering

Die Höhe des Bußgeldes hat das LG in seiner Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigten, dass es sich – auch nach der Ansicht des Datenschutzbeauftragten – nur um einen geringen Datenschutzverstoß gehandelt habe. Dieser habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.

LG Bonn, Entscheidung vom 11.11.2020

Redaktion beck-aktuell, 11. November 2020.

Weiterführende Links

Aus der Datenbank beck-online

Schindler, DS-GVO-Bußgelder in Deutschland: Was kostet fehlender Datenschutz?, ZD-Aktuell 2020, 07282

Kehr/Zapp, CB-Beitrag: DS-GVO – Ein erster Überblick aus der Bußgeldpraxis der Aufsichtsbehörden, CB 2020, 100

Meyer, Bußgelder bei Datenschutzverstößen: Wird es jetzt teuer?, ZVertriebsR 2020, 1

BfDI: Hohe Geldbuße gegen TK-Dienstleister 1&1, ZD-Aktuell 2020, 06911