• Barbara Scheben, Partner |

Keyfacts

  • Der Bundesbeauftragte für den Datenschutz verhängte ein Bußgeld in Höhe von 9.550.000 Euro gegen einen Telekommunikationsdienstleister, da personenbezogene Daten nicht hinreichend sicher geschützt wurden.

  • Das Landgericht Bonn sah den Datenschutzverstoß als gegeben an, verringerte aber das Bußgeld auf 900.000 Euro.

  • Das Gericht folgte bei der Bußgeldbemessung nicht dem Bußgeldkonzept der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK).

Das Verfahren hatte es in sich. Zunächst verhängte der Bundesbeauftragte für den Datenschutz ein Bußgeld in Höhe von 9.550.000 Euro gegen einen Telekommunikationsdienstleister. Das von dem Unternehmen angerufene Landgericht Bonn reduzierte das Bußgeld dann auf knapp ein Zehntel, nämlich 900.000 EUR. Warum ist das passiert, und welchen Schluss können Unternehmen hieraus mit Blick auf Verstöße gegen den Datenschutz ziehen?

Der Hintergrund des Verfahrens lässt sich wie folgt zusammenfassen: Der Telekommunikationsdienstleister betrieb ein Callcenter, welches nach Identifizierung und Authentifizierung des Kunden u. a. Auskünfte erteilte oder Änderungswünsche entgegennahm. Zudem war es möglich, dass Personen, die sich als Familienangehörige des Kunden oder sonst nahestehende Personen vorstellten, für den Kunden handeln konnten, wenn sie zur Authentifizierung den Namen und das Geburtsdatum des Kunden nannten. Die Ex-Lebensgefährtin eines Kunden des besagten Unternehmens nutzte diese Gelegenheit und erschlich sich so dessen neue Telefonnummer, die dieser zuvor eigens geändert hatte. Sie nutzte die Nummer für belästigende Anrufe bei ihrem ehemaligen Partner. 

Kein angemessenes Schutzniveau

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) leitete in der Folge ein Ordnungswidrigkeitenverfahren gegen das Telekommunikationsunternehmen ein und verhängte ein Bußgeld in Höhe von 9.550.000 EUR. Nach Ansicht des BfDI fehlte es an einem angemessenen Schutzniveau nach Art. 32 DSGVO, weil für die Authentifizierung lediglich die Angabe von Name und Geburtsdatum als ausreichend angesehen wurde. Dieser Verstoß gegen den Datenschutz sei nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stelle ein Risiko für den gesamten Kundenbestand dar. Das maximal mögliche Bußgeld hatte der BfDI nach dem Bußgeldkonzept der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mit 73.260.000 EUR festgelegt. Da das Unternehmen sich während des gesamten Verfahrens kooperativ verhalten hatte, sei das verhängte Bußgeld im unteren Bereich des möglichen Bußgeldrahmens verortet, so der Bundesbeauftragte für den Datenschutz in seiner Begründung

Unterschiedliche Auffassungen der Bußgeldbemessung

Das Bußgeldkonzept der DSK sieht für die konkrete Bußgeldzumessung ein Verfahren in fünf Schritten vor. Vereinfacht ausgedrückt wird abhängig vom Umsatz des Unternehmens ein Tagessatz ermittelt, der dann je nach Schwere des Verstoßes mit einem Faktor multipliziert wird. Das hieraus resultierende Ergebnis wird durch etwaige, noch nicht berücksichtigte Umstände angepasst.

Nach Auffassung des Landgerichts Bonn ist allerdings bei der Bußgeldbemessung in erster Linie auf die tatbezogenen Gesichtspunkte des Art. 83 Abs. 2 S. 2 DSGVO abzustellen. Eine Bemessung des Bußgeldes auf Basis eines ermittelten Grundwertes, der sich nach dem Unternehmensumsatz richtet und je nach Schwere des Datenschutzverstoßes mit einem Faktor multipliziert wird, stufte das Gericht als problematisch ein, da eine zu starke Fokussierung auf den Unternehmensumsatz damit einherginge. Die durch den BfDI angewandte Bemessungsmethode möge bei Datenschutzverstößen von mittlerem Gewicht zu angemessenen Ergebnissen führen, so das Gericht weiter, sie versage jedoch bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen. Das seien die Fälle, in denen eine maßgeblich am Umsatz orientierte Zumessung in Widerspruch gerät zu der Zumessung anhand der Kriterien in Art. 83 Abs. 2 S. 2 DSGVO, denn hier hätten diese tatbezogenen Zumessungsgesichtspunkte Vorrang. Der Umsatzhöhe käme zwar weiterhin Bedeutung zu. Im Verhältnis zur Tatschuld verliere der Umsatz jedoch umso mehr an Bedeutung, desto eindeutiger die Bewertung der Schwere des Datenschutzverstoßes in die eine oder andere Richtung ausfällt, begründete das Gericht abschließend das weitaus geringere Bußgeld von 900.000 Euro.

Betrachtung der tatbezogenen Umstände

Bedeutet dies nun Entwarnung für Unternehmen, was die Höhe der Bußgelder bei Datenschutzverstößen anbetrifft? Ich meine nein. Denn auch, wenn das Landgericht Bonn das durch den BfDI verhangene Bußgeld im Verhältnis drastisch reduziert hat, hat es dennoch sehr genau dargelegt, wobei es ihm bei der Beurteilung des Datenschutzschutzverstoßes ankam - nämlich auf die tatbezogenen Umstände des konkreten Einzelfalls.

In diesem Fall berücksichtigte das Gericht Folgendes:

  • Es waren zunächst keine sensiblen Daten betroffen, und es war nur in diesem einen Sachverhalt nachweisbar zu der Schädigung eines Kunden gekommen. Hierbei wies das Gericht darauf hin, dass relativierend zu berücksichtigen sei, dass Fälle eines Datendiebstahls über ein Callcenter oft nicht bekannt werden. 
  • Das Unternehmen hatte nicht absichtlich, bewusst oder auch nur bedingt vorsätzlich gegen das Datenschutzrecht verstoßen. Es sei davon ausgegangen, dass der Authentifizierungsprozess gesetzeskonform ist, wobei das Gericht diese Fehlvorstellung als vermeidbar einstufte. 
  • Es gab keine Vorgaben für die Authentifizierung in Callcentern, und das niedrige Sicherheitsniveau bestand, damit die Kunden ohne größere Hindernisse mit dem Callcenter in Kontakt treten konnten. 
  • Das Unternehmen hatte mit dem BfDI kooperiert, unverzüglich das Schutzniveau des Authentifizierungsprozesses erhöht und in Abstimmung mit dem BfDI letztendlich eine Service-PIN eingeführt.
  • Bei dem Unternehmen war es zum ersten Mal zu einer Geldbuße wegen eines Datenschutzverstoßes gekommen. 
  • Auch wenn – theoretisch – Millionen von Kundendaten betroffen waren, habe trotzdem kein Massendiebstahl von persönlichen Daten gedroht. Angreifer hätten die Daten nur im Einzelfall durch geschickte Gesprächsführung über das Callcenter in Erfahrung bringen können. Real hätten damit nur einer geringen – wenn auch angesichts der Größe des Kundenstamms relevanten – Anzahl von Kunden Nachteile durch die schwache Authentifizierung gedroht.

Hohe Bußgelder drohen weiterhin

Das ausgeurteilte Bußgeld ist immer noch erheblich und insofern ist es nicht ratsam, Datenschutzverstöße auf die leichte Schulter zu nehmen. Folgt man den Worten des Gerichts, kommt neben den tatbezogenen Umständen der Umsatzhöhe auch weiterhin Bedeutung zu. Im Verhältnis zur Tatschuld verliert der Umsatz dann umso mehr an Bedeutung, desto eindeutiger die Schwere des Datenschutzverstoßes anhand der tatbezogenen Umstände bewertet werden kann -  in die eine oder andere Richtung. Die Art und Weise des Datenschutzverstoßes kann aber zweifellos auch höhere Bußgelder auslösen. Man denke beispielsweise an eine Konstellation, in der ein Angreifer auf technischem Wege Zugang zu einer Vielzahl an (auch sensiblen) personenbezogenen Daten erlangt. Dann müsste er keinen umständlichen Weg über einzelne Anrufe mit Angabe bestimmter Authentifizierungsdaten nehmen, um die Daten zu erlangen. Die Beurteilung dieses Datenschutzverstoßes würde sich gänzlich anders darstellen.

Das gesamte Verfahren hat einiges an Aufmerksamkeit erregt und sicher neue Perspektiven bei der Bußgeldbemessung aufgezeigt. Es bleibt abzuwarten, wie sich die weitere Bußgeldpraxis entwickelt. Unternehmen sollten hieraus aber nicht den Schluss ziehen, alles sei halb so wild. Denn es war die besondere Konstellation des Einzelfalls, die hier zu der deutlichen Reduktion des Bußgelds geführt hat. Andere Umstände werden zu anderen Beurteilungen führen.