Landgericht Bonn bestätigt Bußgeld gegen 1&1 Telecom GmbH wg. Verstoß gegen DSGVO, reduziert aber dessen Höhe
Das Landgericht Bonn hat am 11.11.2020 entschieden, dass ein Bußgeld, das der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) im Dezember 2019 gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH aufgrund eines grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO verhängt hat, dem Grunde nach berechtigt, aber zu hoch sei. Das Bußgeld wurde von 9,55 Mio. € auf 900.000 € herabgesetzt.
Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.
Gegen den Bescheid des BfDI hatte das Unternehmen Einspruch eingelegt.
Das Landgericht Bonn hat entschieden,
- dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.
- In der Sache liege ein Datenschutzverstoß vor, da das Unternehmen die Daten seiner Kunden im Rahmen der Kommunikation über die Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie z.B. die aktuelle Telefonnummer, zu gelangen.
- Die Höhe des Bußgeldes hat das Gericht auf 900.000 Euro herabgesetzt, weil das Verschulden des Telekommunikationsdienstleisters gering sei; auch im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei.
- Zudem sei zu berücksichtigten, dass es sich nur um einen geringen Datenschutzverstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.
Quelle: Pressemitteilung des Landgerichts Bonn vom 11.11.2020
In einer Stellungnahme zum Urteil des Landgerichts Bonn hat Prof. Ulrich Kelber (BfDI) erklärt, dass er das Handeln seiner Behörde durch das Urteil als bestätigt ansieht. Das Gericht habe festgestellt, dass das Unternehmen für seinen Verstoß gegen die DSGVO haftet: „Dabei wurden wichtige und grundsätzliche Fragestellungen geklärt. Das Gericht folgte der Auffassung des in wesentlichen Punkten: Die 1&1 Telecom hat durch unzureichende Sicherheitsmaßnahmen im Callcenter einen Datenschutzverstoß begangen. Sie muss als Unternehmen nach den Maßstäben der dafür haften: Ich bin überzeugt, dass diese Entscheidung in den Chefetagen von Unternehmen wahrgenommen wird… Kein Unternehmen kann es sich mehr leisten den Datenschutz zu vernachlässigen.“