Bußgeld von 900.000 EUR wegen DSGVO-Verstoß
Das Landgericht Bonn entschied am 11.11.2020, dass ein Bußgeld wegen Verstoßes gegen die DSGVO in Höhe von 9.550.000 EUR zu hoch sei. Zwar liege ein Verstoß unzweifelhaft vor, allerdings sei ein Bußgeld von 900.000 EUR eher angemessen.
Wie bemisst sich ein angemessenes Bußgeld bei einem DSGVO-Verstoß?
Betroffen war ein großer Telekommunikationsdienstleister. Er wies im Jahre 2019 einen Umsatzerlös von 3,76 Milliarden Euro und einen Gewinn von rund 373 Millionen Euro aus. Seit Inkrafttreten der DSGVO betrieb die Betroffene ein Callcenter, um ihre Kunden zu betreuen. Den Callcenter-Agenten wurden zur Bearbeitung von Kundenanfragen die erforderlichen Informationen wie Name, Kundennummer, Telefonnummer etc. zur Verfügung gestellt. Die Authentifizierung der Anrufer im Callcenter erfolgte folgendermaßen: Erfolgte der Anruf unter einer von der Betroffenen vergebenen Telefonnummer, wurde dem Serviceagenten der jeweilige Datensatz der Telefonnummer direkt angezeigt. Handelte es sich dagegen um einen Anruf von einer fremden oder unterdrückten Telefonnummer wurde der Kunde vom Serviceagenten anhand seines Namens und seines Geburtsdatums oder – alternativ – durch Angabe von Kunden-/Vertrags- bzw. Auftragsnummer identifiziert. Im Jahr 2018 rief eine Frau im Callcenter an und erbat die neue Handynummer ihres Ex-Partners. Sie erklärte, offene Forderungen begleichen zu müssen. Da sie Namen und Geburtsdatum des Ex-Partners benennen konnte, wurde ihr die neue Telefonnummer bekannt gegeben. Diese nutzte sie in der Folge für belästigende Anrufe. Der Ex-Partner und Kunde der Betroffenen erstattete Anzeige bei der Polizei. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) erlangte durch eine polizeiliche Mitteilung Kenntnis von dem Vorfall. Aufgrund dessen leitete er ein Ordnungswidrigkeitsverfahren gegen die Betroffene ein und verhängte ein Bußgeld in Höhe von 9.550.000 EUR.
Unternehmen selbst als Adressat eines Bußgeldbescheides
Das Landgericht Bonn befasste sich zunächst damit, wer richtiger Adressat des Bußgeldbescheides sei. Es kam zu dem Schluss, dass dies grundsätzlich das Unternehmen selbst sei und nicht etwa Leitungspersonen bzw. Organe. Denn für die Owi-Tatbestände in Art. 83 DSGVO seien die Grundsätze des supranationalen Kartellrechts entsprechend anzuwenden. Grund sei, dass der europäische Gesetzgeber bei Schaffung des Art. 83 DSGVO ersichtlich das supranationale Kartellrecht zum Vorbild gehabt habe. Dies komme etwa in Erwägungsgrund 150 zur DSGVO zum Ausdruck. Dort sei zu lesen, dass im Fall einer Geldbuße gegen Unternehmen der Begriff „Unternehmen“ als EU-kartellrechtlicher Unternehmensbegriff zu verstehen sei.
Angabe von Name und Geburtsdatum nicht ausreichend
Auch habe die Betroffene als Datenverantwortliche schuldhaft gegen Art. 32 DSGVO verstoßen und sei somit der Ordnungswidrigkeit schuldig, so das Gericht. Es bestehe für Datenverantwortliche die Pflicht, geeignete technische und organisatorische Maßnahmen zum Datenschutz zu treffen. Das Schutzniveau müsse dabei angemessen sein. Gegen diese Vorgaben habe die Betroffene allerdings verstoßen. Zur Authentifizierung sei lediglich Name und Geburtsdatum abgefragt worden. Das Erfragen dieser Informationen sei jedoch nicht ausreichend, um sicherzustellen, dass der Anrufende auch der Vertragspartner sei. Denn Name und Geburtsdatum des Kunden stehe einem unüberschaubar großen Personenkreis zur Verfügung. Sie seien im Familien-, Bekannten- und Kollegenkreis vielfach bekannt oder verfügbar. Zudem seien Name und Geburtsdatum zu Personen auch einfach zu ermitteln, beispielsweise im Internet.
Keine Vertretungsmacht
Erst Recht seien die Daten ungeeignet, um eine Vermutung für eine Berechtigung/ Vertretungsmacht des Anrufenden zu begründen, so das Gericht weiter. Dass andere Personen Kenntnis von Namen und Geburtsdatum des Kunden haben, impliziere nicht schon, dass diese bewusst preisgegeben worden seien. Selbst eine bewusste Weitergabe des Geburtsdatums beinhalte – auch im Familien- und Freundeskreis – keinerlei Erteilung einer Vertretungsmacht. Die Betroffene habe aus ihrer vertraglichen Beziehung zum Kunden heraus auch keinerlei Informationen über die jeweiligen familiären Verhältnisse gehabt. Es sei den Callcenter-Mitarbeitern daher nicht möglich zu verifizieren, ob der behauptete Angehörige nach der Familienstruktur des Kunden überhaupt existiere. Durch die Möglichkeit von Anrufen durch Dritte sei die Gefahr eines Missbrauchs zudem erhöht gewesen. Denn dadurch sei es den Anrufenden besonders leicht möglich gewesen, durch das Vorgeben von Wissenslücken den Callcenter-Agenten zur Preisgabe von Informationen zu veranlassen, ohne einen Missbrauchsverdacht zu erregen.
Höhe des Bußgeldes bei Unternehmen
Der Bußgeldrahmen bestimme sich nach Art. 83 Abs. 4 DSGVO, so das Gericht weiter. Danach sei im Fall eines Unternehmens eine Geldbuße von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich, falls dieser Betrag höher als 10 Mio. Euro sei. Bei der Bemessung könne der funktionale Unternehmensbegriff des europäischen Kartellrechts zugrunde gelegt werden. Daher komme es nicht auf den Umsatz der das Callcenter betreibenden GmbH an. Vielmehr sei bei der Bestimmung der Obergrenze auf den Gesamtumsatz des Konzerns als Unternehmen im funktionalen Sinne abzustellen.
Umsatzhöhe nicht einziges Kriterium
Das Landgericht sah unter umfassender Abwägung aller Umstände allerdings eine gegenüber dem Bußgeldbescheid deutlich geringere Geldbuße in Höhe von 900.000 Euro als tat- und schuldangemessen an. Denn es dürfe nicht übersehen werden, dass in Art. 83 DSGVO in erster Linie tatbezogene Gesichtspunkte für die Bemessung des Bußgeldes aufführt seien. Daher sei die Ermittlung eines Bußgeldes, welches sich ausschließlich nach dem Umsatz richtet, problematisch. Eine solche Bemessungsmethode mag bei Datenschutzverstößen von mittlerem Gewicht zu angemessenen Ergebnissen führen. Sie versage jedoch bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen. Zwar komme der Umsatzhöhe weiterhin Bedeutung zu. Im Verhältnis zur Tatschuld verliert der Umsatz jedoch umso mehr an Bedeutung, desto eindeutiger die Schwere des Datenschutzverstoßes anhand der tatbezogenen Umstände in die eine oder andere Richtung ausfällt. Die Geldbuße müsse stets auch angemessen sein. Sie müsse spürbar sein, dürfe aber keine unangemessene Härte darstellen.
Mildernde Umstände sind zu berücksichtigen
Vorliegend handele es sich um einen Datenschutzverstoß mit überwiegend milden zu berücksichtigenden Gesichtspunkte, so das LG weiter. Beispielsweise seien keine sensiblen Daten betroffen gewesen. Es sei zudem nur in einem Fall nachweisbar zu einer Kundenschädigung gekommen. Die Betroffene habe nicht absichtlich, bewusst oder auch nur bedingt vorsätzlich gegen das Datenschutzrecht verstoßen. Sie habe auch umfassend mit dem BfDI kooperiert und unverzüglich das Schutzniveau des Authentifizierungsprozesses erhöht. Zwar seien abstrakt eine Vielzahl von Kundendaten betroffen gewesen. Es habe jedoch kein Massendiebstahl gedroht. Denn die Daten seien von Angreifern nur im Einzelfall durch eine geschickte Gesprächsführung über das Callcenter in Erfahrung zu bringen gewesen. Außerdem habe die Betroffene durch den öffentlichkeitswirksamen Erlass des Bußgeldbescheides ein Reputationsschaden erlitten. Aufgrund der Höhe des zunächst verhängten Bußgeldes sei in der Öffentlichkeit der Eindruck entstanden, als habe sich um einen gewichtigen Datenschutzverstoß gehandelt. Dies ist aber gerade nicht der Fall.
Landgericht Bonn, Urteil vom 11.11.2020, Az. 29 OWi 1/20
