Navigation öffnen
Startseite » News » Internetrecht » LG Bonn zu 1&1: Erstes Urteil über Millionenbußgeld nach DSGVO-Verstoß
LG Bonn zu 1&1 :

Erstes Urteil über Millionenbußgeld nach DSGVO-Verstoß

Der Telekommunikationsanbieter 1&1 muss wegen eines Verstoßes gegen die DSGVO ein Bußgeld von 900.000 Euro zahlen. So entschied das Landgericht Bonn am Mittwoch, den 11. 11. 2020. Als erstes deutsches Gericht urteilte es damit über die Forderung eines Millionenbußgeldes gegen ein Unternehmen wegen eines Datenschutzverstoßes. Im Vergleich zu den ursprünglich geforderten 9,6 Millionen Euro Bußgeld kam 1&1 mit der Entscheidung des Landgerichts Bonn aber noch glimpflich davon. 

Das Urteil der Bonner Richter wurde von Datenschutzexperten mit Spannung erwartet. Erstmals sollte ein deutsches Gericht über ein Millionenbußgeld nach der DSGVO entscheiden und mit seiner Urteilsverkündung wichtige Grundsatzfragen zu den Bußgeldvorschriften der DSGVO klären. Im Kern stellten die Richter klar, das verhängte Bußgeld gegen den Telekommunikationsanbieter 1&1 Telecom GmbH sei rechtens aber zu hoch. Statt 9,6 Millionen Euro seien 900.000 Euro angemessen (Urt. v. 11.11.2020 Az. 29 OWi 1/20 LG).

Ausgangspunkt des Rechtsstreits war ein Millionenbußgeld, das der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ende 2019 gegen die 1&1 Telecom GmbH verhängt hatte. Dieser ist als Bundesbehörde für die Kontrolle von Telekommunikationsunternehmen in Sachen Datenschutz zuständig. 

1 & 1 gab persönliche Daten an Stalkerin heraus 

Folgender Sachverhalt hatte den Bundesdatenschutzbeauftragten dazu veranlasst, das Bußgeld zu verhängen: Im Jahr 2018 hatte eine Frau bei der 1&1-Hotline angerufen und bekam die neue Handynummer ihres Ex-Mannes übermittelt. Die Frau hatte nur seinen Namen und sein Geburtsdatum genannt und vom Callcenter-Agenten die Nummer durchgesagt bekommen. Der Bundesdatenschutzbeauftragte sah darin einen grob fahrlässigen Verstoß gegen Art. 32 der DSGVO. 

Diese Norm verpflichtet einen Verantwortlichen für die Datenverarbeitung „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. 

Bußgeld von 9,6 Millionen Euro unangemessen 

Gegen das verhängte Bußgeld ging 1&1 gerichtlich vor. Vor allem kritisierte es den Bußgeldbetrag als unverhältnismäßig hoch. Dem pflichtete das Landgericht Bonn in seinem Urteil bei. Ein Verstoß gegen Art. 32 DSGVO liege zwar vor. Allerdings sei ein nur geringer Verstoß zu verzeichnen. Dieser habe nicht zu „einer massenhaften Herausgabe von Daten an Nichtberechtigte“ geführt. Zugunsten des Unternehmens sei auch zu berücksichtigen, dass die über Jahre bei 1&1 vorgenommene Authentifizierungspraxis, die im streitgegenständlichen Fall fehlging, bis zu dem Millionenbußgeld nie beanstandet wurde. Für Callcenter gebe es außerdem keine rechtsverbindlichen Vorgaben, wie sie ihre Authentifizierungsverfahren durchzuführen hätten. 

Verhältnis von DSGVO und OWiG

Weiterhin stellte sich den Bonner Richtern die entscheidende klärungsbedürftige Frage, ob der Datenschutzverstoß des Callcenter-Mitarbeiters dem Telekommunikationsunternehmen überhaupt zurechenbar war. Die DSGVO enthält keine Vorschriften zur Zurechnung eines Datenschutzverstoßes. Nach § 41 Bundesdatenschutzgesetz (BDSG) findet das Gesetz über Ordnungswidrigkeiten (OWiG) jedoch auf DSGVO-Bußgelder mit wenigen Ausnahmen „entsprechend“ bzw. „sinngemäß“ Anwendung. 

Das Ordnungswidrigkeitenrecht lässt Bußgelder gegen Unternehmen aufgrund einer Zurechnung des Verhaltens der Mitarbeiter nur zu, wenn eine natürliche Person aus der Unternehmensleitung entweder selbst einen (Datenschutz-)Verstoß begangen oder Aufsichtspflichten verletzt hat und ihr das Handeln zugleich vorwerfbar ist, es sich also um Vorsatz oder Fahrlässigkeit handelt. Allein weil ein Datenschutzverstoß festgestellt wurde, kann dieser nach dem OWiG noch nicht sanktioniert werden. 

Beobachtern stellte sich also im Vorhinein die Frage, ob die Bonner Richter die Zurechnungskriterien des OWiG strikt anwenden oder sich auf den offenen Wortlaut der DSGVO berufen würden. 

Das Landgericht Bonn bezog hier klar Stellung. Die Richter stellten auf den offenen Wortlaut der DSGVO ab.  Dieser enthalte im Gegensatz zum Ordnungswidrigkeitengesetz keine Regelungen zur Zurechenbarkeit. Das anwendbare europäische Recht erfordere nicht, dass konkret festgestellt werden muss, dass eine Leitungsperson des Unternehmens gegen Regelungen verstoßen hat, um ein Bußgeld verhängen zu können.

mle