Landgericht Bonn bestätigt Haftung von 1&1 nach DSGVO, reduziert aber das Bußgeld erheblich

Am 09.12.2019 verhängte der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) gegenüber der 1&1 Telecom GmbH ein Bußgeld i.H.v. 9,55 Mio. €. Nach Einspruch gegen den Bußgeldbescheid hatte das Landgericht Bonn über die Sache zu entscheiden. Die 9. Große Strafkammer des Landgerichts Bonn bestätigte zwar mit Urteil vom 11.11.2020 (Az.: 29 OWi 430 Js-OWi 366/20-1/20) das Vorliegen eines Datenschutzverstoßes und die Verantwortlichkeit von 1&1, reduzierte das Bußgeld aber ganz erheblich, und zwar um 90 % auf 900.000,00 €.

Was war geschehen?

Ausgangspunkt für das Bußgeldverfahren und das sich anschließende Gerichtsverfahren ist ein Vorfall aus dem Jahr 2018. Dabei gelang es einer Frau durch einen einfachen Anruf beim Callcenter von 1&1 die Handynummer ihres Ex-Mannes zu erhalten. Dem Callcenter genügte es, dass die Frau Namen und Geburtsdatum ihres Ex-Mannes angab. Die Frau nutzte die erhaltenen Informationen dazu, ihren Ex-Mann mit Anrufen zu schikanieren, woraufhin sie wegen Nachstellung (Stalking) bezichtigt wurde.

Nach Aufdeckung des Sachverhalts durch das BfDI sah dieses bei 1&1 ein unzureichendes technisch-organisatorisches Authentifizierungsverfahren gegeben. Nach Auffassung des BfDI sicherte das Verfahren nicht, dass personenbezogene Daten an unbefugte Dritte anstelle des Vertragsinhabers gelangten. Dass die bloße Angabe von Namen und Geburtsdatum beim Callcenter zur Informationserlangung ausreichten, stelle einen grob fahrlässigen Verstoß gegen Artikel 32 Datenschutz-Grundverordnung (DSGVO) dar. Der BfDI verhängte ein Bußgeld i.H.v. 9,55 € Mio.

1&1 gelobte Besserung durch die Entwicklung einer umfangreicheren Authentifizierung, bemängelte jedoch die Höhe des Bußgelds als unverhältnismäßig sowie dessen Umsatzbezug und legte Einspruch gegen den Bußgeldbescheid ein, so dass es zum Hauptverfahren vor dem Landgericht Bonn kam.

Was hat das Landgericht Bonn entschieden?

Die 9. Große Strafkammer des Landgerichts Bonn entschied, dass das Bußgeld dem Grunde nach berechtigt sei, da es Dritten auf einfache Art gelingen könne, an personenbezogene Daten zu kommen, jedoch nur an allgemeine Daten, nicht an sensible Daten, wie z.B. Einzelverbindungsnachweise, Kontodaten usw.; hier habe es bei 1&1 ein fehlendes Problembewusstsein gegeben.

Unter anderem führte das Gericht aus, dass die Haftung von Unternehmen nicht davon abhänge, dass der konkrete Verstoß von einer sogenannten „Leitungsperson“ begangen werde; es reiche vielmehr aus, dass ein nicht leitender (einfacher) Mitarbeiter gehandelt habe.

Aus rechtlicher Sicht sind zwei relevante Punkte besonders hervorzuheben:

 Zum einen geht um die Zurechnung für das Verhalten von Unternehmensmitarbeitern bzgl. der haftenden Unternehmen. In dem allgemeinen deutschen Ordnungswidrigkeitenrecht gilt mit § 30 Abs. 1 Ordnungswidrigkeitengesetz (OWiG) der Grundsatz, dass gegen diese Bußgelder verhängt werden können, wenn eine Person mit Leitungsfunktion eine Straftat oder Ordnungswidrigkeit begangen hat, durch die Pflichten, welche die juristische Person oder die Personenvereinigung treffen, verletzt worden sind oder diese bereichert wurden.

Das Landgericht Bonn ist der Ansicht, dass bei der Bußgeldverhängung nach DSGVO das Handeln einer Leitungsperson nicht notwendig sei, da die Haftungstatbestände, also das materielle Bußgeldrecht in der DSGVO abschließend geregelt worden sei, so dass dem nationalen Gesetzgeber nur noch die Regelungshoheit über die das formelle Bußgeldrecht verbliebt. Dies folge aus dem Anwendungsvorrang des europäischen Rechts. Der hier relevante Artikel 83 DSGVO enthalte insoweit keine dem § 30 OWiG entsprechende Regelung.

Zum anderen stellte das Landgericht Bonn die umsatzbezogene Bemessung des Bußgelds in Frage. Die rein umsatzbezogene Bußgeldberechnung nach dem Bußgeldkonzept der Datenschutzkonferenz (DSK) sei unverhältnismäßig. Zwar sei der Umsatz ein Indikator, dürfe jedoch nicht alleine berücksichtigt werden. Der Umsatz sei kein Zumessungsgesichtspunkt nach Artikel 83 Abs. 2 DSGVO.

Was folgt aus dem Urteil für die Praxis?

Der Umstand, dass dem Unternehmen Verstöße aller Mitarbeiter, unabhängig von Funktion und Verantwortung, zugerechnet werden, bedeutet ein hohes Haftungsrisiko. Zugleich zwingt diese Feststellung dazu, die Prozesse im Unternehmen umfassend so auszugestalten, dass das Risiko von Datenschutzverstößen reduziert wird. Dazu gehören neben Datenschutzmanagementsystemen auch Schulungen und Sensibilisierungen aller Mitarbeiter.

Bei Fragen zum Thema Datenschutzrecht wenden Sie sich gerne an Rechtsanwalt Dr. Baran Kizil, LL.M.