Am Mittwoch wird mit dem LG Bonn erstmals ein deutsches Gericht ein Urteil zu einem Millionenbußgeld verkünden, das wegen eines DSGVO-Verstoßes verhängt wurde. Es kann dabei wichtige Grundsatzfragen klären, meint Jonas Puchelt.
Datenschützer warten mit Spannung auf den Mittwoch: Dann wird das Landgericht (LG) Bonn das erste Urteil eines deutschen Gerichts zu einem Millionenbußgeld verkünden, das nach der Datenschutzgrundverordnung (DSGVO) ergangen ist (Az. 29 OWi 1/20 LG). Das Gericht kann mit seinem Urteil Rechtsprechung zu wichtigen Grundsatzfragen des Datenschutzrechtes fixieren und dadurch praxisrelevante Unklarheiten bei der Verhängung von Bußgeldern nach der DSGVO verringern.
Auslöser des Rechtsstreits ist ein Millionenbußgeld, das die für Unternehmen aus dem Telekommunikationssektor zuständige Datenschutzaufsicht, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ende 2019 gegen die 1&1 Telecom GmbH verhängt hatte. Die telefonische Kundenbetreuung des Unternehmens hatte einer Anruferin die Mobilfunknummer eines Bestandskunden herausgegeben, nachdem diese sich mit dem Namen und dem Geburtsdatum des Kunden authentifiziert hatte. Bei dem Kunden handelte es sich um den Ex-Mann der Anruferin, den sie gestalkt hat.
Nach Ansicht des Bundesbeauftragten Ulrich Kelber entsprach das Authentifizierungsverfahren, das 1&1 einsetzte, nicht dem gesetzlichen Standard des Art. 32 DSGVO. Das Unternehmen habe keine hinreichenden technischen und organisatorischen Maßnahmen getroffen, um den Zugriff Unberechtigter auf Kundendaten zu verhindern.
Bußgeld sollte wohl Signalwirkung haben
Diesen Verstoß gegen Art. 32 DSGVO ahndete die Aufsichtsbehörde mit einem Bußgeld in Höhe von 9,6 Millionen Euro. Es war das erste Millionenbußgeld des Bundesbeauftragten nach Inkrafttreten der DSGVO und sollte vermutlich Signalwirkung haben. So hieß es in der Pressemitteilung: "Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden."
Weiter ließ sich Ulrich Kelber mit den Worten zitieren, dass die europäische Datenschutzgrundverordnung "uns die Möglichkeit [gibt], die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an."
Der Bundesbeauftragte erachtete das Bußgeld für geboten, obgleich 1&1 intensiv mit der Aufsichtsbehörde kooperierte, den Authentifizierungsprozess der telefonischen Kundenbetreuung unverzüglich durch die Abfrage zusätzlicher Informationen absicherte und im weiteren Verlauf in Absprache mit der Behörde ein datenschutzrechtlich verbessertes Authentifizierungsverfahren einführte.
1&1 hält das Bußgeld für grundgesetzwidrig
1&1 akzeptierte das Bußgeld nicht und legte Widerspruch ein. Anfang Oktober 2020 begann das Ordnungswidrigkeitenverfahren vor dem LG Bonn, sechs Verhandlungstage waren angesetzt. Nach Auffassung der Datenschutzbeauftragten von 1&1 Dr. Julia Zirfas ist das Bußgeld unverhältnismäßig, und seine Bemessung verstößt gegen das Grundgesetz, wenn - wie hier - bereits kleine Abweichungen im Einzelfall zu Bußgeldern führen, die am Konzernumsatz bemessen werden.
Die Angelegenheit könnte wegweisend sein, da im Prozess wichtige und bisher nicht höchstrichterlich entschiedene Kernfragen der Sanktionierung von DSGVO-Verstößen diskutiert werden. Ein zentraler Punkt ist das Zusammenspiel zwischen europäischem Datenschutzrecht und deutschem Ordnungswidrigkeitenrecht. Denn nach § 41 BDSG findet das Gesetz über Ordnungswidrigkeiten (OWiG) auf DSGVO-Bußgelder mit wenigen Ausnahmen "entsprechend" bzw. "sinngemäß" Anwendung. Was das genau heißt und vor allem, zu was es in der Praxis führt, ist die große Unbekannte.
Kann ein Unternehmen überhaupt haftbar gemacht werden?
Bußgelder werden nach der DSGVO in der Regel - so auch im Fall von 1&1 - gegen Unternehmen verhängt. Unternehmen sind allerdings nicht selbst handlungsfähig, sondern können allenfalls für einen Verstoß eines Mitarbeiters verantwortlich sein. Dafür müssen seine Handlungen dem Unternehmen "zurechenbar" sein. Die DSGVO enthält jedoch keine Regelungen zu einer solchen Zurechnung. Das deutsche OWiG hingegen schon – und Bußgelder gegen Unternehmen sind danach nur möglich, wenn die Voraussetzungen der §§ 30, 130 OWiG vorliegen.
Diese Bestimmungen lassen Bußgelder gegen Unternehmen nur zu, wenn eine natürliche Person aus der Unternehmensleitung entweder selbst einen (Datenschutz-)Verstoß begangen oder Aufsichtspflichten verletzt hat und ihr das Handeln zugleich vorwerfbar ist, es sich also um Vorsatz oder Fahrlässigkeit handelt. Dass ein Datenschutzverstoß bloß festgestellt wird, reicht zur Sanktionierung des Verstoßes somit nicht aus. Es ist in Deutschland dadurch schwieriger als erwartet, ein Unternehmen für einen Datenschutzverstoß im Wege eines Bußgeldbescheids haftbar zu machen.
Die deutsche Rechtslage widerspricht dem Wortlaut des Art. 83 DSGVO zwar nicht, kann aber zu einer faktischen Beschränkung der Durchsetzungsfähigkeit der Norm führen. Deshalb befürworten manche Datenschützer eine einschränkende Auslegung des OWiG, damit ein Widerspruch zur DSGVO vermieden wird. Andere sind hingegen der Auffassung, dass die fehlende Zurechenbarkeit von Verstößen in der DSGVO zurecht durch das Recht der Mitgliedsstaaten ausgefüllt wird, und eine einschränkende Auslegung der nationalen Vorschriften ist aufgrund des zu Grunde liegenden Schuldprinzips - das unverfügbare Verfassungsidentität genießt - nicht geboten.
Zwischen Abschreckung und Angemessenheit
Ferner wird das Gericht aufgrund der Einwände von 1&1 voraussichtlich die konkrete Bemessung des Bußgeldes überprüfen. Denn Bußgelder nach der DSGVO sollen abschreckend wirken, müssen aber stets "angemessen" sein. Ein unbestimmter Rechtsbegriff, der anhand des jeweiligen Sachverhalts auszulegen ist und Einzelfallgerechtigkeit schaffen soll.
Da ein hohes Maß an Individualität in der praktischen Umsetzung stets schwierig zu handhaben ist, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) am 14.10.2019 ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht und darin versucht, die Zumessungskriterien unter Wahrung der erforderlichen Individualität zu pauschalieren. Nach dem DSK-Leitfaden bemessen deutsche Aufsichtsbehörden seither ihre Bußgelder. Zu welchen Bußgeldhöhen es im Einzelfall führen kann, wenn die Maßstäbe angewendet werden, demonstriert nicht nur die Causa 1&1.
Die Erwartungshaltung an die Entscheidung des LG Bonn ist hoch, denn die Beratungspraxis erhofft sich auch eine grundsätzliche Auseinandersetzung mit der Frage der "Angemessenheit" von DSGVO-Bußgeldern sowie dem von der DSK entwickelten Zumessungskonzept. Es sind somit keine trivialen Fragen, die das Landgericht Bonn zu bewerten hat. Bestenfalls enthalten die Ausführungen des Gerichts eine inhaltlich überzeugende erste Einordnung der Rechtsprechung, die dringend notwendige Klarheit in einem sehr praxisrelevanten Teilbereich der DSGVO schafft.
Der Autor Jonas Puchelt ist Rechtsanwalt und Fachanwalt für Informationstechnologierecht bei FPS Fritze Wicke Seelig in Frankfurt. Sein Beratungsschwerpunkt liegt im IT- und Datenschutzrecht.
LG Bonn zum Datenschutzverstoß von 1&1: . In: Legal Tribune Online, 10.11.2020 , https://www.lto.de/persistent/a_id/43368 (abgerufen am: 04.11.2024 )
Infos zum Zitiervorschlag