Die Flügel gestutzt - Bußgeldberechnung bei DS-GVO Verstößen

Ende 2019 wurde die 1&1 Telecom GmbH vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) mit einem Bußgeld in Höhe von 9,55 Mio. € belegt. Berechnet wurde dieses Bußgeld anhand der Kriterien des veröffentlichten Bußgeldberechnungskonzeptes der Datenschutzkonferenz (DSK). Nun hat das LG Bonn in einem vielbeachteten Urteil dieses Bußgeld drastisch herabgesetzt. 

Mit dem Urteil ist erstmals die Bußgeldpraxis der Aufsichtsbehörden für den Datenschutz gerichtlich überprüft worden. Dementsprechend dürfte die Bedeutung des Urteils weit über das konkrete Verfahren hinausgehen und erhebliche Auswirkungen auf die Berechnung von Bußgeldern für Datenschutzverstöße in Deutschland haben.

Das Urteil

Die 9. Strafkammer des LG Bonn hat am 11.11.2020 das vom BfDI gegenüber der 1&1 Telecom GmbH ausgesprochene Bußgeld deutlich herabgesetzt: Die Richter reduzierten das Bußgeld von 9,55 Mio. € um knapp 90% auf 900.000 €. Das Gericht erkannte zwar an, dass keine ausreichenden technischen und organisatorischen Maßnahmen bestanden. Maßgeblich für die Entscheidung war jedoch, dass keine sensiblen Daten herausgegeben wurden, der Verstoß nicht vorsätzlich erfolgte und 1&1 gut mit den Behörden kooperierte. Eine massenhafte Herausgabe von Daten an Nichtberechtigte sei zudem nicht möglich gewesen. Die Urteilsbegründung wurde noch nicht veröffentlicht. Womöglich finden sich in dieser weitere interessante Aspekte.

Hintergrund des Urteils

Als für Telekommunikationsunternehmen zuständige Datenschutz-Aufsichtsbehörde hat der BfDI Ende 2019 gegen die 1&1 Telecom GmbH ein Bußgeld in Höhe von 9,55 Mio. € verhängt. Ausgangspunkt war die Herausgabe der Handynummer eines Mannes an seine Ex-Frau und Stalkerin, die diese nur allein durch Nennung seines Namens und Geburtsdatums von einer Callcenter-Agentin bei der 1&1-Hotline bekam. Darin hat der BfDI einen grob fahrlässigen Verstoß gegen Art. 32 DS-GVO gesehen. Durch diese Norm werden Verantwortliche verpflichtet, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Von diesem Bußgeld sollte eine Signalwirkung ausgehen, da es eines der ersten höheren Bußgelder seit Einführung der DS-GVO war. Bemessungsgrundlage für dieses Bußgeld war der Konzernumsatz des 1&1 Drillisch Konzerns. Akzeptieren wollte 1&1 dieses Bußgeld jedoch nicht und legte Widerspruch ein, da es nach Meinung von 1&1 grundgesetzwidrig sei.

Folgen für die künftige Bußgeldpraxis der Aufsichtsbehörden

Neben der Reduzierung des Bußgeldes hat das LG Bonn weitere wichtige und mit Spannung erwartete Aussagen zu dem Bußgeldverfahren getroffen. 

Zum einen hält nach den bislang veröffentlichten Information über die Urteilsbegründung des LG Bonn eine rein umsatzbezogene Bußgeldberechnung, wie sie das Bußgeldkonzept der DSK vorsieht, wohl für unverhältnismäßig. Vielmehr wären Kriterien wie der Grad des Verschuldens, die Schwere des Verstoßes und das Risiko für Betroffene zur Reduzierung der Strafe heranzuziehen gewesen. Auch die Tatsache, dass es bisher keine rechtsverbindlichen Vorgaben für die technische Sicherheit im Authentifizierungsprozess gibt, wurde vom LG Bonn bei der Bemessung des Bußgeldes vermutlich berücksichtigt. 

Wie sich diese Entscheidung konkret auf bereits verhängte oder noch zu verhängende Bußgelder auswirkt, wird sich zeigen müssen. Eines der nächsten Bußgelder, die ihren Weg vor ein Gericht finden könnten, ist das Bußgeld des LfDI Hamburg gegen H&M in Höhe von 35 Mio. €. Auf der Grundlage der Urteilsbegründung des LG Bonn erscheint es aber fraglich, ob H&Ms Aussichten, durch eine gerichtliche Überprüfung eine Herabsetzung des Bußgeldes zu erreichen, tatsächlich erfolgversprechend sind. Laut Pressenotiz des LFDI Hamburg zu dem Bußgeldbescheid hatten mehrere Führungspersonen bei H&M über einen langen Zeitraum hinweg vorsätzlich und rechtswidrig sensible Daten von Mitarbeitern gesammelt, ausgetauscht und auf diese Weise die Mitarbeiter ausgespäht. 

Weiterhin führt das Gericht aus, dass die DS-GVO das materielle Bußgeldrecht abschließend regelt und das Verhältnis von DS-GVO und OWiG lediglich prozessuale und formelle Aspekte betrift. Konkret bedeutet dies für Unternehmen, dass ein Fehlverhalten einer bestimmten Leitungsperson keine Voraussetzung für die Bejahung eines Verstoßes gegen die DS-GVO ist. Ausreichend für die Zurechenbarkeit ist das rechtswidrige Verhalten irgendeines Mitarbeiters des Unternehmens, unabhängig von einem etwaigen Vorsatz. Unternehmen können sich damit nur unter sehr engen Voraussetzungen von einem Vorwurf exkulpieren.

Berücksichtigung der Auswirkungen von Corona

Es erscheint nicht fernliegend, dass Datenschutzbehörden bei der Bußgeldbemessung im Einzelfall die ökonomischen Auswirkungen der Pandemie bei Bemessung der Bußgelder berücksichtigen werden.

Das in England der Hotelkette Marriott wegen eines Datenschutzverstoßes aufgrund mangelhafter Datensicherung, bei dem Daten 340 Mio. Kunden ausgelesen worden waren, angedrohte Bußgeld in Höhe von 110 Mio. €, wurde in dem Bescheid nunmehr mit Verweis auf die wirtschaftlichen Auswirkungen der Corona Krise auf 20,3 Mio. € reduziert. Auch ein Bußgeld gegen British Airways wurde von der britischen Datenschutzbehörde deutlich reduziert. Statt der angedrohten 204 Mio. € ist nun lediglich ein Betrag in Höhe von 22 Mio. € fällig. Auch hier war die Corona-Pandemie das entscheidende Kriterium zur Reduzierung des Bußgeldes.

Insofern wird allerdings zu berücksichtigen sein, dass die Hotel- und Passagierflugbranche erheblich stärker von den Folgen der Pandemie betroffen sind, als andere Branchen.

Obwohl in Deutschland bislang in keinem Verfahren ein angedrohtes Bußgeld aufgrund der Pandemie herabgesetzt worden ist, haben sich sowohl der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Hamburg als auch der LfDI Rheinland-Pfalz insoweit im Zusammenhang mit der Krise geäußert, dass Fristversäumnisse bei der Bearbeitung von Betroffenenanfragen durch Unternehmen infolge der Corona-Pandemie ggf. nicht geahndet werden.

Ergebnis

In Zukunft werden Behörden die Kriterien, die sie bei der Bemessung eines Bußgeldes zugrunde legen, sorgfältiger im Lichte der Umstände des Einzelfalls prüfen müssen und es besteht Anlass zur Hoffnung, dass die DSK ihr Konzept zur Bußgeldberechnung angesichts des Urteils des LG Bonn überdenkt. Zukünftige Bußgelder, insbesondere bei fahrlässig begangenen, kleineren Verstößen, sollten damit geringer ausfallen, als dies in einigen Fällen seit Geltung der DS-GVO der Fall war. Selbstverständlich sollte das Urteil Unternehmen nicht zu einem sorglosen Umgang mit dem Thema Datenschutz verleiten. Aber es zeigt auch, dass eine schnelle Reaktion bei Verstößen gegen den Datenschutz und eine kooperative Zusammenarbeit mit den Datenschutzbehörden sich deutlich positiv für Unternehmen bei der Bemessung eines etwaigen Bußgeldes auswirken dürften.

Ausblick

Die Praxis europäischer Bußgeldbehörden zeigt, dass Bußgelder in erster Linie abschreckend wirken sollen. Dies rechtfertigt jedoch nicht die teils irrwitzig hohen Bußgelder für Datenschutzverstöße der jüngeren Vergangenheit. Die starke Fokussierung auf den Konzernumsatz ist gleichermaßen unzureichend wie unverhältnismäßig. Vielmehr sind Faktoren wie die Schwere des Verstoßes, der Grad der Verantwortlichkeit und die Kooperationswilligkeit nunmehr deutlich stärker zu gewichten. 

Abzuwarten bleibt, ob sich andere deutsche Gerichte der Linie des LG Bonn anschließen, und wie Gerichte in anderen EU-Mitgliedstaaten und ggf. der EuGH sich zu dieser Frage äußern werden.