Das LG Bonn reduzierte die vom Bundesbeauftragten für den Datenschutz (BfDI) verhängte Millionenstrafe (wir berichteten) gegen den Telekommunikationsanbieter 1&1 deutlich. Doch auch das reduzierte Bußgeld von 900.000 EUR ist keine Lappalie, so dass Datenschutzverstöße weiterhin erhebliche Bußgeldrisiken nach sich ziehen.
Update 11.01.2021: Inzwischen ist das Urteil im Volltext hier abrufbar.
Worum ging es?
Anlass des Bußgeldverfahrens war eine Strafanzeige wegen Nachstellung („Stalking“) eines 1&1-Kunden. Dessen ehemalige Lebensgefährtin hatte sich beim Callcenter von als 1&1 als Ehefrau ihres Ex-Partners ausgegeben und die neue Telefonnummer ihres Ex-Partners erfragt. Sie musste dazu lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.
Der BfDI verhängte deshalb im November 2019 ein Bußgeld in Höhe von 9,55 Millionen Euro. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.
Wie hat das LG Bonn entschieden?
Das LG Bonn (Pressemitteilung hier abrufbar) stellte einen Datenschutzverstoß fest. 1&1 habe die Daten seiner Kunden im Rahmen der Kommunikation über die Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt. So sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, z.B. die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten auf diesem Wege indes nicht abgefragt werden können.
Das LG Bonn setzte das Bußgeld auf einen Betrag von immerhin noch 900.000,00 EUR herab. Das Verschulden von 1&1 sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt.
1&1 begrüßte die Entscheidung, ebenso wie der BfDI.
Bewertung
Hochinteressant sind die Ausführungen des Gerichts zur Begründung der Herabsetzung des Bußgeldes. Das LG Bonn meint, 1&1 habe sich in einem Rechtsirrtum bezüglich der Angemessenheit des Schutzniveaus der Daten befunden. Ein Rechtsirrtum liegt vor, wenn dem Täter bei seiner Handlung die Einsicht fehlte, etwas Unerlaubtes zu tun. Die Tat kann ihm dann nicht vorgeworfen werden, es sei denn, er hätte diesen Irrtum vermeiden können (z.B. durch Nachdenken oder rechtliche Beratung). Das fehlende Unrechtsbewusstsein ist aber bei der Festsetzung der Geldbuße zugunsten des Täters zu berücksichtigen.
Hier meinte das Gericht, der Rechtsirrtum sei verständlich, aber vermeidbar gewesen. Denn es habe keine verbindlichen Vorgaben für die Authentifizierung von Kunden in Callcentern gegeben.
Und genau das ist der spannende Punkt: Die Einsicht, etwas Unerlaubtes zu tun, kann insbesondere fehlen, wenn die Einhaltung einer gesetzlichen Regelung nicht ohne eine Wertung festgestellt werden kann (bei sog. wertausfüllenden, sog. „normativen“ Tatbestandsmerkmalen, wie z.B. „angemessenes Schutzniveau“). Denn wenn der Täter in nicht vorwerfbarer Weise als rechtlicher Laie den Unrechtsgehalt seines Tuns nicht erfasst hat, unterliegt er einem Irrtum: Er meint, sein Verhalten sei erlaubt, obwohl das nicht zutrifft.
Die DSGVO enthält eine große Zahl solcher wertausfüllungsbedürftiger Merkmale. Im vorliegenden Fall ging es um die Pflicht von 1&1, „geeignete technische und organisatorische Maßnahmen [zu treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ (siehe Art. 32 DSGVO).
Was bedeutet das für Unternehmen?
Die Urteilsbegründung des LG Bonn liegt noch nicht vor. Der Pressemitteilung lässt sich aber entnehmen, dass das Gericht es für nicht einfach hält, die teilweise wirklich schwammigen Anforderungen der DSGVO einzuhalten. Und zwar gerade dann, wenn es noch keine Vorgaben dazu gibt. Außerdem dürfte mit dem Urteil das von der DSK entwickelte Bußgeldkonzept infrage gestellt worden sein.
Beides könnten Datenverarbeiter zukünftig gerade bei Beanstandungen von Aufsichtsbehörden oder bei verhängten Bußgeldern argumentativ für sich nutzen.