DSGVO Bußgeld Zukunftssicher
Offizielle Pressemitteilung des LG Bonn (Az. 29 OWi 1/20)
Aktenzeichen: PM 27/2020
Datum: 11.11.2020
Die 9. Kammer für Bußgeldsachen des Landgerichts Bonn hat heute entschieden, dass das Bußgeld, welches der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) gegen einen Telekommunikationsdienstleister aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) verhängt hat, dem Grunde nach berechtigt, aber unangemessen hoch sei. Die Kammer hat das
Bußgeld von ursprünglich 9,55 Millionen Euro daher auf 900.000 Euro herabgesetzt.
Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.
Der BfDI verhängte deshalb im November 2019 gegen den Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen Euro wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.
Gegen diesen Bescheid hat der Telekommunikationsdienstleister Einspruch eingelegt, weshalb die Sache an fünf Hauptverhandlungstagen vor der 9. Kammer für Bußgeldsachen verhandelt wurde.
Die Kammer hat entschieden, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das
nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.
In der Sache liege ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sog. Callcenter nicht durch ein hinreichend
sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe
des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie z.B. die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten auf diesem Wege indes nicht abgefragt werden können.
Die Betroffene habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern sei dieser
Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.
Die Höhe des Bußgeldes hat die Kammer in ihrer Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigten, dass es sich – auch nach der Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.
Anmerkung zum Urteil: Dr. Krieg & Kollegen
Verbandsstrafrecht durch die europäische Hintertür? – Wie die DSGVO zur strafrechtlichen Haftungsverschärfung für Unternehmen führen kann.
In Deutschland galt bisher der Grundsatz „societas delinquere non potest“, nur der Mensch ist straffähig, nicht eine Personengesamtheit. Dies wird gemeinhin als Ausdruck der schuldabhängigen Bestrafung angesehen und führte zu einer weitgehende strafrechtlichen Haftungsprivilegierung der Unternehmen.
Ausnahmen gibt es bereits bei der Einziehung in § 74e StGB. Dort wurde eine Zurechnung des Handelns von Organen und Vertretern zu Lasten der Vertretenen, also der Unternehmen für das Fehlverhalten von Leitungspersonen festgeschrieben.
Ähnlich regelt § 30 OWiG die Haftung des Unternehmens für das Fehlverhalten einer natürlichen Person, die in einem Vertretungs- oder Leistungsverhältnis zum Unternehmen steht.
Schließlich begründet § 130 OWiG auch eine Haftung des Unternehmens bei Aufsichtspflichtverletzung.
Neben diesen punktuellen Haftungsvorschriften für das Leitungspersonal existiert im unmittelbar in Deutschland geltenden europäischen Kartellrecht eine generelle Zurechnung des Fehlverhaltens einzelner Mitarbeiter oder auch Handelsvertreter zu dem Unternehmen.
Dieser europäische kartellbußgeldrechtlichen Unternehmensbegriff gründet sich darauf, dass in Art. 101 AEUV der Begriff des Unternehmens ausdrücklich genannt wird. Die Haftung trifft dann das Unternehmen eben nicht nur bei Fehlverhalten von Leitungspersonen, sondern ebenso für das Fehlverhalten von Mitarbeitern, Tochtergesellschaften, Handelsvertreter, Maklern, Beratern, Auftragnehmern und Lieferanten. Auch auf der Rechtsfolgenseite ist die Haftung umfangreicher als im nationalen Kartellrecht, wo die Haftung auf das betroffene Unternehmen beschränkt ist und durch Neugründung von Unternehmungen Sanktionen umgangen werden können.
Neben dieser europäischen Vorschrift des Art. 101 AEUV könnte jetzt durch Art. 83 DSGVO erstmals im deutschen Recht eine solche Verbandsgeldbuße im originär deutschen Recht etabliert werden.
Das Landgericht Bonn wird voraussichtlich in der kommenden Woche erstmalig eine derartige Begründung ausfertigen nach der unter Außerachtlassung des § 30 OWiG eine originäre bußgeldrechtliche Haftung eines Unternehmens ausgeurteilt werden könnte.
Die Parallelen sind dabei offenkundig, sowohl Art. 101 AEUV als auch Art. 83 Abs. IV – VI DSGVO benennen ausdrücklich das Handeln des Verbandes als Tatbestandsvoraussetzungen der Ordnungswidrigkeit.
Die Reichweite der möglichen Folgen
Die Folge dürfte eine umfassende Haftung des Unternehmens für Tochtergesellschaften, Handelsvertreter, Makler, Berater, Auftragnehmer und Lieferanten sein. Entkommen dürfte man den Bußgeldern der DS-GVO dann auch nicht durch Gründung eines neuen Unternehmens. Eine Nichthaftung dürfte nur noch in Exzessfällen möglich sein.
Datenschutzrechtler aus ganz Deutschland blicken gespannt auf das Landgericht Bonn. Die möglichen Auswirkungen des Urteils füllen in den letzten Wochen zudem eine Vielzahl von Zeitungsartikeln, Blog- oder Social-Media-Beiträgen. So berichteten überregionale – FAZ, Zeit etc. – sowie lokale – General Anzeiger (Bonn), Kölner Stadtanzeiger (Köln) – Zeitschriften als auch bekannte Online-Redaktionen – Legal Tribute Online, Heise etc. – bereits früh über den zugrunde liegenden Sachverhalt und die möglichen Auswirkungen.
Weitere Links
Unsere Anmerkung auf Anwalt.de
Unsere Anmerkung auf DSGVO-Bußgeldverfahren.de
Urteilsbegründung
Hier finden Sie in Kürze die Urteilsbegründung des Landgericht Bonn.