LG Bonn: DSGVO-Bußgeld in Höhe von EUR 900.000,00 gegenüber 1&1 bestätigt

Mit Urteil vom 10.11.2020, Az. 29 OWi 1/20 LG, hat das Landgericht Bonn ein Bußgeld gegenüber der 1&1 Telecom GmbH in Höhe von EUR 900.000,00 bestätigt.

Im Dezember 2019 verhängte der Bundesdatenschutzbeauftragte (BfDI) ein Bußgeld in Höhe von EUR 9.550.000 gegen 1&1 wegen eines Verstoßes gegen Artikel 32 DSGVO, weil Anrufer beim Callcenter des Telekommunikationsdienstleisters allein durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten.

1&1 akzeptierte das Bußgeld nicht und legte Einspruch ein. Nach Auffassung von 1&1 war das Bußgeld unverhältnismäßig und seine Bemessung ein Verstoß gegen das Grundgesetz, wenn bereits kleine Abweichungen im Einzelfall zu Bußgeldern führen, die am Konzernumsatz bemessen werden.

Das Landgericht Bonn hat nunmehr entschieden, dass das verhängte Bußgeld dem Grunde nach berechtigt, aber im konkreten Einzelfall zu hoch war.

In der Sache liege ein Datenschutzverstoß vor, da 1&1 die Daten seiner Kunden im Rahmen der Kommunikation über die sogenannten Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Insbesondere sei die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhängig, dass der konkrete Verstoß von einer Leitungsperson des Unternehmens festgestellt werde.

Gleichwohl hat das Landgericht Bonn das Bußgeld auf EUR 900.000,00 herabgesetzt: Nach Auffassung des Landgerichts sei der festgestellte Datenschutzverstoß nur gering gewesen und habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es bei 1&1 an dem notwendigen Problembewusstsein gefehlt. Dieser Rechtsirrtum sei zwar vermeidbar, aber auch verständlich gewesen, da es insoweit an verbindlichen Vorgaben für Callcenter fehle.

Die Entscheidung des Landgerichts Bonn wurde mit Spannung erwartet, weil erstmals ein deutsches Gericht ein Urteil zu einem DSGVO-Millionenbußgeld zu fällen hatte. Trotz Reduzierung des Bußgelds zeigte sich der BfDI nicht unzufrieden mit der Entscheidung:

„Das LG Bonn hat heute geurteilt, dass 1&1 für seinen Verstoß haftet. Das zeigt: Datenschutzverstöße bleiben nicht ohne Folgen. […] Ich bin überzeugt, dass diese Entscheidung in den Chefetagen von Unternehmen wahrgenommen wird. Ich warte noch auf die schriftliche Begründung des Urteils, aber klar ist schon jetzt: Kein Unternehmen kann es sich mehr leisten den Datenschutz zu vernachlässigen.“

Falls Sie einen Bußgeldbescheid erhalten haben und/oder zivilrechtlichen Ansprüchen von betroffenen Personen ausgesetzt sind, können Sie sich gerne jederzeit an unsere zertifizierten Datenschutzexperten wenden.

 

Autor: Rechtsanwalt Maximilian Braun

Die Kommentarfunktion ist geschlossen.