Millionenbußgeld für Unternehmen: 9,6 Millionen € schrecken ab!

Bußgeld Datenschutz 1und1

Mit Spannung erwarten viele Datenschutz- und Rechtsexperten den heutigen Sitzungstermin (Az. 29 OWi 1/20 LG – 13:30 Uhr) am Landgericht Bonn: Im Raum steht das erste Urteil eines deutschen Gerichts zu einem Millionenbußgeld, welches aufgrund der DSGVO ergangen ist. Von dem Urteil der Bonner Richter erhofft man sich vor allem eine Klärung praxisrelevanter Fragen – in jedem Fall aber ein richtungsweisendes Urteil!

Kontext

Auslöser des Rechtsstreits ist ein Millionenbußgeld, das die für Unternehmen aus dem Telekommunikationssektor zuständige Datenschutzaufsicht, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ende 2019 gegen die 1&1 Telecom GmbH verhängt hatte.

Hintergrund ist, dass eine Kundenbetreuerin des Unternehmens an eine Anruferin die Mobiltelefonnummer eines Bestandskunden herausgegeben hat. Die Anruferin meldete sich mit Name und Geburtsdatum des Kunden an, allerdings handelte es sich bei der Anruferin um die Ex-Frau des Kunden, welche diesen daraufhin gestalkt hat.

Der Bundesbeauftragte für Datenschutz – Boris Kelber – hielt das Authentifizierungsverfahren für mangelhaft, es entspreche nicht den gesetzlichen Standards des Art. 32 DSGVO. Es wurden keine hinreichenden technischen Maßnahmen getroffen, um einen Zugriff durch Unberechtigte zu verhindern.

9,6 Millionen Euro – Ein Bußgeld mit Signalwirkung

Der Verstoß gegen Art. 32 DSGVO ahndete die Aufsichtsbehörde mit einem Bußgeld in Höhe von 9,6 Millionen Euro. Als eins der ersten Bußgelder in Millionenhöhe, sollte dieses eine Signalwirkung haben. In der Pressemitteilung hieß es: “Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden“.

Der Bundesdatenschutzbeauftragte Boris Kelber hält die Höhe des Bußgelds für angemessen und geboten. Das Unternehmen 1&1 hat seit Bekanntwerden eng mit den Aufsichtsbehörden zusammengearbeitet, Authentifizierungsmaßnahmen verbessert und generell anstandslos kooperiert.

Das Unternehmen hält die Höhe des Bußgeldes für gesetzeswidrig. Anfang Oktober 2020 begann das Verfahren nach Ordnungswidrigkeitengesetz (OWiG). Die Datenschutzbeauftragte von 1&1 hält das Bußgeld für unverhältnismäßig und falsch berechnet.

Der Prozess hat wegweisenden Charakter, da dort erstmals wichtige Kernfragen zur Sanktionierung nach der DSGVO geklärt werden. Als ganz zentraler Punkt gilt hier das Verhältnis zwischen DSGVO und OWiG. Gemäß § 41 Bundesdatenschutzgesetz (BDSG) findet das OWiG auf DSGVO-Bußgelder “entsprechende” Anwendung (siehe auch unseren Beitrag zu § 41 BDSG). Was genau damit gemeint ist und was in der Praxis damit passiert, ist bisher nicht bekannt.

Haftung eins Unternehmens überhaupt möglich?

Bußgelder können in der Regel gegen Unternehmen verhängt werden. Unternehmens sind jedoch selbst nicht handlungsfähig, müssen sich aber das Verhalten ihre Mitarbeiter zurechnen lassen. Dadurch ergibt sich folgendes Problem: Die DSGVO sieht keine Zurechnung eines Verhaltens vor, das deutsche OWiG (§ 30 OWiG + § 130 OWiG) jedoch schon. Die Voraussetzungen für ein Bußgeld nach §§ 30, 130 OWiG sind, dass eine natürliche Person aus der Unternehmensleitung entweder selbst einen (Datenschutz-)Verstoß begangen oder Aufsichtspflichten verletzt hat und ihr das Handeln zugleich vorwerfbar ist, es sich also um Vorsatz oder Fahrlässigkeit handelt.

Damit reicht die bloße Feststellung eines Datenschutzverstoßes für die Verhängung eines Bußgeldes nicht aus. Die deutsche Rechtslage widerspricht zwar nicht dem Wortlaut des Art. 83 DSGVO (s. unseren Beitrag zu Bußgeld nach der DSGVO) aber kann zu einer faktischen Beschränkung der Durchsetzbarkeit eines Bußgeldes führen. Demnach liegt der Streitpunkt darin, ob man das deutsche OWiG einschränkend auslegt, damit ein Widerspruch zur DSGVO vermieden wird, oder man davon ausgeht, dass das im deutschen geltende “Schuldprinzip” nicht durch eine einschränkende Auslegung umgangen werden darf.

Ausblick

Die Bemessung des Bußgeldes wird mit ein zentraler Punkt der Verhandlung sein. Denn Bußgelder nach der DSVGO sollen abschreckend sein, jedoch immer “angemessen”.

Da ein hohes Maß an Individualität in der praktischen Umsetzung stets schwierig zu handhaben ist, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) am 14.10.2019 ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen (siehe auch unseren Beitrag zum Artikel Berechnung von Bußgeldern nach der DSGVO) veröffentlicht und darin versucht, die Zumessungskriterien unter Wahrung der erforderlichen Individualität zu pauschalieren. Nach dem DSK-Leitfaden bemessen deutsche Aufsichtsbehörden seither ihre Bußgelder.

Demnach ist die Erwartung das Urteil der Bonner Richtung hoch. Insbesondere die Frage er “Angemessenheit” sowie die Bemessung nach dem Konzept der DSK sind von besonderer Bedeutung. Wir verfolgen gespannt den Ausgang des Verhandlungstermin.