DSGVO-Verstoß: Gericht reduziert Bußgeld für 1&1 um fast 9 Millionen

Das Landgericht (LG) Bonn hat einen Bußgeldbescheid gegen den Internetanbieter 1&1 wegen eines Datenschutzverstoßes als "berechtigt" bestätigt. Die ursprünglich vom Bundesdatenschutzbeauftragten Ulrich Kelber verhängte Geldbuße von 9,6 Millionen Euro hielt das Gericht jedoch für "unangemessen hoch" und reduzierte den Betrag auf 900.000 Euro. Das Verschulden des Unternehmens sei gering, teilte das Gericht nach Angaben Kelbers mit.

Nach Ansicht des Gerichts lag ein Datenschutzverstoß vor, weil 1&1 die Daten seiner Kunden bei der Kommunikation mit dem Callcenter nicht durch ein sicheres Authentifizierungsverfahren geschützt hatte. Da diese Praxis jahrelang nicht beanstandet worden sei, habe es am notwendigen Problembewusstsein gefehlt.

Laut Kelber konnten Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums des Kunden weitere personenbezogene Daten des Kunden erhalten. Dem Gericht zufolge konnte die ehemalige Lebensgefährtin eines Kunden damit dessen neue Telefonnummer erfragen. Diese Nummer habe sie dann "zu belästigenden Kontaktaufnahmen" genutzt. Die Verhängung eines Bußgeldes rechtfertigte Kelber damit, dass der Verstoß ein Risiko für den gesamten Kundenbestand dargestellt habe. Weil 1&1 gut kooperiert habe, liege dessen Höhe "im unteren Bereich des möglichen Bußgeldrahmens".

Wie hoch soll das Bußgeld sein?

Das sah das Unternehmen jedoch anders und klagte gegen den Bescheid. "Das Bußgeld ist absolut unverhältnismäßig. Die neue Bußgeldregelung, nach der die Summe berechnet wurde und die für die gesamte deutsche Wirtschaft gilt, wurde am 14. Oktober 2019 veröffentlicht und orientiert sich am jährlichen Konzern-Umsatz", schrieb 1&1. Dadurch könnten bereits "kleinste Abweichungen riesige Geldbußen zur Folge haben".

Trotz der Herabsetzung der Bußgeldhöhe sieht sich Kelber durch das Urteil bestätigt. "Das LG Bonn hat heute geurteilt, dass 1&1 für seinen Verstoß haftet. Das zeigt: Datenschutzverstöße bleiben nicht ohne Folgen", sagte der Bundesdatenschutzbeauftragte. "Ich bin überzeugt, dass diese Entscheidung in den Chefetagen von Unternehmen wahrgenommen wird. Ich warte noch auf die schriftliche Begründung des Urteils, aber klar ist schon jetzt: Kein Unternehmen kann es sich mehr leisten, den Datenschutz zu vernachlässigen."

Die Datenschutzkonferenz (DSK) hatte im Oktober 2019 ein Konzept zur Bußgeldbemessung veröffentlicht (PDF). Dieses orientiert sich stark am Unternehmensumsatz, auf dessen Basis Tagessätze berechnet werden. Schon bei der Veröffentlichung des Konzepts erwarteten Juristen, "dass große Unternehmen auch bei minimalen Verstößen mitunter hohe Bußgelder zahlen müssen, weil der für sie ermittelte wirtschaftliche Grundwert und damit der errechnete Tagessatz bereits so hoch sind".

Der frühere Bundesdatenschutzbeauftragte Peter Schaar kommentierte das Urteil auf Twitter mit den Worten: "Es stellt sich die Frage, ob das von den deutschen Aufsichtsbehörden verwendete Modell zur Bemessung von Bußgeldern für Datenschutzverstöße die Schwere des Verstoßes höher gewichten sollte, um unangemessen hohe Strafzahlungen bei geringfügigen Verstößen zu vermeiden."