Bußgeld Datenschutz: LG Bonn reduziert Strafe | IT-Medienrecht

Erfahren Sie, wie das Landgericht Bonn ein Bußgeld Datenschutz wegen mangelhafter Kundenverifizierung reduziert hat. Alle Details zum Urteil und den…

Das Wichtigste in Kürze

  • Das Landgericht Bonn hat ein DSGVO-Bußgeld gegen einen Telekommunikationsdienstleister von 9,55 Millionen Euro auf 900.000 Euro reduziert.
  • Grund für das Bußgeld war eine unzureichende Kundenverifizierung in Callcentern (nur Name und Geburtsdatum), die einen Verstoß gegen Art. 32 Abs. 1 DSGVO darstellt.
  • Die Reduzierung erfolgte aufgrund des geringen Verschuldens des Dienstleisters, da die Praxis lange unbeanstandet blieb und es sich um einen geringfügigen Datenschutzverstoß handelte.
  • Europäisches Recht erlaubt die Verhängung von Bußgeldern gegen Unternehmen auch ohne Nachweis der Schuld einer konkreten Leitungsperson.

Die 9. Kammer für Bußgeldsachen des Landgerichts Bonn hat heute entschieden, dass das Bußgeld, welches der Bundesbeauftragte für den Datenschutz und Informationsfreiheit gegen einen Telekommunikationsdienstleister aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung verhängt hat, dem Grunde nach berechtigt, aber unangemessen hoch sei. Die Kammer hat das Bußgeld von ursprünglich 9,55 Millionen Euro daher auf 900.000 Euro herabgesetzt.

Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte.

Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.

Der BfDI verhängte deshalb im November 2019 gegen den Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen Euro wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO.

Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.

Gegen diesen Bescheid hat der Telekommunikationsdienstleister Einspruch eingelegt, weshalb die Sache an fünf Hauptverhandlungstagen vor der 9. Kammer für Bußgeldsachen verhandelt wurde.

Die Kammer hat entschieden, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.

In der Sache liege ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sog. Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie z.B. die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten auf diesem Wege indes nicht abgefragt werden können.

Die Betroffene habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern sei dieser Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.

Häufig gestellte Fragen

Warum wurde gegen den Telekommunikationsdienstleister ein Bußgeld verhängt?
Das Bußgeld wurde wegen eines grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO verhängt. Der Dienstleister hatte eine mangelhafte Kundenverifizierung in seinem Callcenter, bei der lediglich Name und Geburtsdatum zur Authentifizierung ausreichten.
Wie hoch war das ursprüngliche Bußgeld und auf welchen Betrag wurde es reduziert?
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte ursprünglich ein Bußgeld von 9,55 Millionen Euro. Das Landgericht Bonn hat dieses auf 900.000 Euro herabgesetzt.
Was war der konkrete Anlass für das Bußgeldverfahren?
Anlass war eine Strafanzeige wegen Nachstellung. Die ehemalige Lebensgefährtin eines Kunden konnte über das Callcenter dessen neue Telefonnummer erfragen, indem sie sich als Ehefrau ausgab und nur Name sowie Geburtsdatum nannte.
Warum hat das Landgericht Bonn die Höhe des Bußgeldes reduziert?
Das Gericht begründete die Reduzierung mit einem geringen Verschulden des Telekommunikationsdienstleisters. Die Authentifizierungspraxis wurde über Jahre nicht beanstandet, und es handelte sich um einen geringen Datenschutzverstoß, der nicht zur massenhaften Datenherausgabe führte.
Muss bei einem Bußgeld gegen ein Unternehmen die Schuld einer Leitungsperson nachgewiesen werden?
Nein, laut Landgericht Bonn und anwendbarem europäischem Recht hängt die Verhängung eines Bußgeldes gegen ein Unternehmen nicht davon ab, dass der konkrete Verstoß einer Leitungsperson festgestellt wird.