DSGVO-Bußgeld gegen 1&1 Telecom GmbH

1&1 zu 900.000 Euro Datenschutz-Bußgeld verurteilt

Ein Beitrag von Rechtsanwalt Thomas Repka

Der Telekommunikationsdienstleister 1&1 muss wegen Datenschutzverstößen ein DSGVO-Bußgeld in Höhe von 900.000 Euro zahlen. So entschied das Landgericht Bonn (Urteil vom 11. November 2020 Az. 29 OWi 1/20 LG). Damit bestätigten die Richter zwar den vorgeworfenen Datenschutzverstoß, reduzierten die Höhe des Bußgelds aber drastisch um 90%. Ursprünglich hatte die zuständige Datenschutzbehörde ein Millionen-Bußgeld von 9,55 Mio. Euro gefordert. Hiergegen wehrte sich die 1&1 Telecom GmbH – zum Teil mit Erfolg.

Datenschutzrechtswidrige Kunden-Authentifizierung = Datenschutzverstoß

Der 1&1 Telecom GmbH wurde vorgeworfen, eine nicht datenschutzkonforme Authentifizierungsmethode für telefonische Auskünfte zu verwenden. Im Jahr 2018 hatte eine Frau bei der Hotline der 1&1 angerufen und bekam allein mit der Angabe des Namens und des Geburtsdatums ihres Ex-Mannes dessen neue Handynummer von dem 1&1-Mitarbeiter durchgesagt. Ein solches Authentifizierungsverfahren entspräche nach Einschätzung des Bundesdatenschutzbeauftragten Ulrich Kelber nicht dem Stand der Technik und würde deshalb einen Datenschutzverstoß gegen Art. 32 der Datenschutzgrundverordnung (DSGVO) darstellen.

Millionen-Bußgeld wird durch Gericht herunterkorrigiert

Daraufhin erließ der Bundesdatenschutzbeauftragte ein Bußgeld von 9,55 Mio. Euro gegen 1&1. Die Datenschutzbehörden verständigten sich Anfang dieses Jahres in der Datenschutzkonferenz (DSK) auf ein einheitliches Berechnungsmodell für die Festsetzung von datenschutzrechtlichen Bußgeldern. Dieses Konzept fand wohl auch im Verfahren gegen 1&1 Anwendung. Die 1&1 Telecom GmbH kündigte ein rechtliches Vorgehen, insbesondere gegen die Höhe des Bußgelds an. Das Unternehmen hatte sich in dem Verfahren äußerst kooperativ verhalten. Zudem betonte der Telekommunikationsdienstleister, dass es sich um einen Einzelfall, nicht aber um ein systematisches Problem handeln würde.

Dieser Argumentation folgten die Richter am Landgericht Bonn nur zum Teil. Das Gericht urteilte, dass zwar ein Datenschutzverstoß vorliege, es sich aber nur um einen geringen Verstoß handle, der nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte habe führen können. Das Gericht kam zum Ergebnis, dass das ursprünglich festgesetzte Bußgeld unangemessen hoch ist und reduzierte es auf 900.000 Euro.

Kritik am Bußgeldkonzept der DSK

In seinem Urteil kritisierte das Gericht das Bußgeldkonzept der DSK, da dies Bemessungsaspekte außer Acht lasse. Der Bundesdatenschutzbeauftragte hat bereits angekündigt, das Konzept zu überarbeiten. Vor diesem Hintergrund lohnt es sich, gegen bisher ergangene Bußgeldbescheide vorzugehen, da diese möglicherweise auf einem nicht ausgereiften bzw. rechtlich angreifbaren Bußgeldberechnungs-Konzept beruhen.

Hohe Anforderungen an technische und organisatorische Maßnahmen

Trotz der gerichtlichen Entscheidung und Korrektur des Bußgelds sollte die Bedeutung des Art. 32 DSGVO nicht vernachlässigt werden. Fehlerhaft oder unvollständig umgesetzte technische und organisatorische Maßnahmen führen nicht nur zu Datenschutzvorfällen und Datenverlusten, sondern eben auch zu Meldungen an Aufsichtsbehörden und daraus resultierend zu Bußgeldern.

Nach Art. 32 DSGVO müssen Verantwortliche und Auftragsverarbeiter geeignete und angemessene technische und organisatorische Maßnahmen treffen. Zu berücksichtigten sind dabei u.a. der Stand der Technik, die Implementierungskosten sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Bei fehlender oder unzureichender Umsetzung dieser Anforderungen drohen Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes.