Heute hat die 9. große Strafkammer am LG Bonn ihr Urteil (29 OWi-430 Js-OWi 366/20- 1/20 LG) über den Bußgeldbeschluss gefällt, den der BfDI gegenüber der 1&1 Telecom GmbH Ende 2019 ausgesprochen hatte. Der BfDI hatte 1&1 mit einem Bußgeld in Höhe von 9,55 Mio. Euro belegt, weil 1&1 nach Ansicht des BfDI bei der Authentifizierung von Anrufern in den Call Centern des Unternehmens keine ausreichenden technisch organisatorischen Maßnahmen anwenden würde, um sicherzustellen, dass der Anrufende auch der jeweilige Vertragsinhaber sei. Zur Bemessung des Bußgeldes zog der BfDI den Umsatz des 1&1 Drillisch Konzerns heran, dessen Tochterunternehmen die 1&1 Telecom ist.

Entscheidung des LG Bonn

Ergebnis:  Das Gericht hat das Bußgeld gegenüber 1&1 um ca. 90% auf 900.000 Euro reduziert.

Echo:  Neben der Pressemitteilung des LG Bonn haben sich sowohl der BfDI als auch 1&1 bereits zum Ausgang des Verfahrens geäußert.

Als Begründung für die signifikante Reduzierung war für das LG Bonn maßgebend, dass die damalige Authentifizierung der Anrufer zwar keine ausreichende Sicherheit bot, es sich dennoch bei den in den Call Centern der 1&1 verfügbaren personenbezogenen Daten nicht um sensible, sondern um allgemeine Daten handele. Dies seien Daten, die ohnehin vielfach preisgegeben würden, wie Name, Anschrift, Telefonnummer und allgemeine Vertragsinformationen. Auch sei die Wahrscheinlichkeit des Missbrauchs durch unberechtigte Anrufer gering, da bei einem Anruf auch nur ein Datum erlangt werden könne. Daher hätte ein Risiko auch nur für wenige Kunden bestanden. Da der DSGVO-Verstoß kein besonderes Gewicht habe, reduzierte das LG Bonn  das Bußgeld erheblich.

Verbandshaftung und umsatzbezogene Bebußung

Ausführungen des LG Bonn, die Bedeutung über den konkreten Fall hinaus haben werden, sind solche zur Verbandshaftung und zur umsatzbezogenen Bußgeldberechnung:

• Verbandshaftung:

Adressat:  Der Bußgeldbescheid sei nicht wegen der fehlenden Umgrenzungsfunktion nach § 30 Abs. 1 OWiG unwirksam.

Zurechnung nach DSGVO:  Zwar richte sich der Bußgeldbescheid nur gegen die 1&1 als juristische Person und bezeichne nicht konkret das Handeln oder Unterlassen einer Leitungsperson des Unternehmens. Der Nachweis des Handelns oder Unterlassens einer Leitungsperson sei allerdings nicht erforderlich, da Art. 83 DSGVO das materielle Bußgeldrecht abschließend regele und selbst die Verantwortlichkeit von Unternehmen unmittelbar statuiere. Hierfür reiche aus, dass irgendein Mitarbeiter des Unternehmens handele oder unterlasse.

Zurechnung nach OWiG:  Für das Erfordernis der Zurechnung des Handelns oder Unterlassens einer Leitungsperson nach § 30 OWiG sei daneben kein Raum. Die Mitgliedstaaten hätten lediglich die Möglichkeit, nach Art. 83 Abs. 8 DSGVO das Verfahrensrecht national zu regeln, aber nicht Aspekte des materiellen Bußgeldrechts.

Vergleich:  Der österreichische Verwaltungsgerichtshof sah dies in einem vergleichbaren Fall noch anders.

Hinweis:  Warum Art. 83 DSGVO bei der Zurechnung eines DSGVO-Verstoßes nicht weiterhilft und die auch durch deutsche Gerichte für die Anwendung der § 30 und § 130 OWiG herausgestellten Prinzipien „ohne weiteres“ auf Bußgelder nach der DSGVO übertragen werden können, haben Härting/Konrad, DSGVO im Praxistext, 1. Aufl. 2020, Rz. 323 – 351 („Welche Anforderungen an ein Bußgeld ergeben sich aus § 130 OWiG?“) gezeigt. Nach diesen Grundsätzen ist gem. § 41 Abs. 1 BDSG nicht nur eine konkrete Person zu ermitteln, die einen Datenschutzverstoß begangen hat, sondern auch die Verantwortlichkeit eines Unternehmens für diesen Verstoß nachzuweisen (dazu Konrad, „Bußgelder aufgrund von Datenschutzverstößen (Teil 1)“, CRonline Blog v. 8.6.2020).

• Umsatzbezogene Bebußung

Unverhältnismäßigkeit:  Das LG Bonn hält eine rein umsatzbezogene Bußgeldberechnung, wie es aktuell das DSK Bußgeldkonzept vorsieht, für unverhältnismäßig. Der Umsatz des Unternehmens sei kein Zumessungsgesichtspunkt nach Art. 83 Abs. 2 DSGVO.

Ahndungsempfindlichkeit:  Dem Unternehmensumsatz komme insoweit Bedeutung zu, als dass Bußgelder wirksam und abschreckend sein müssten, mithin eine gewisse Ahndungsempfindlichkeit gegeben sein müsse. Der Umsatz, der den gesamten Konzernumsatz umfasse, sei daher für die Ahndungsempfindlichkeit ein wesentlicher Faktor.

Kein primus inter pares:  Dennoch sei der Umsatz nur einer von vielen Faktoren. Eine reine Umsatzbezogenheit versage
(1) bei leichten DSGVO-Verstößen von umsatzstarken Unternehmen und
(2) bei schweren DSGVO-Verstößen von umsatzschwachen Unternehmen.
Im ersten Fall führe dies zu unverhältnismäßig hohen, im zweiten zu unverhältnismäßig niedrigen Bußgeldern. Daher müsse eine Bebußung stärker die tatbezogenen Faktoren berücksichtigen.

Konkrete Kriterien der Bußgeldzumessung

Im Fall der 1&1 hat das Gericht bei der Bußgeldzumessung die nachfolgenden Punkte berücksichtigt:

• Keine Tatmehrheit:  Es liegt nur ein Fall des Missbrauchs vor.
• Art der Daten:  Es handelte sich um keine sensiblen Daten.
• Subjektive Komponente:  1&1 hat nicht absichtlich gehandelt.
• Motiv:  Die schwache Authentifizierung ist zugunsten der Kunden eingeführt worden, damit diese einen einfachen Zugang zum Call Center erhalten.
• Kooperation mit Aufsichtsbehörde:  1&1 hat umfangreich im Bußgeldverfahren kooperiert.
• Korrektur:  1&1 hat direkt das Niveau der Authentifizierung erhöht.
• Häufigkeit:  Es handelt sich um die erste gegenüber 1&1 verhangene Geldbuße.
• Datenabfluss:  Es ist zu keinem Massendatenabfluss gekommen und
• Reputationsschaden:  1&1 hat durch die umfangreiche Berichterstattung einen Reputationsschaden erlitten.