Das LG Bonn hat am vergangenen Mittwoch (11.11.) ein – zum Glück – so gar nicht dem Karnevalsbeginn entsprechendes Urteil über das vom Bundesbeauftragten für den Datenschutz gegen das Unternehmen 1&1 verhängte Bußgeld gefällt: Dem Grunde nach sei ein Bußgeld gerechtfertigt, der Höhe nach aber (Zitat des Autors: völlig) unangemessen. Das Bußgeld, seinerzeit von der Aufsichtsbehörde mit sage und schreibe 9,55 Millionen Euro angesetzt, wurde auf 900.000 Euro, also nicht mal 10% der ursprünglichen Höhe, heruntergesetzt.

Zur Erinnerung: Das Unternehmen hatte – datenschutzwidrig – personenbezogene Daten an Dritte herausgegeben – nicht etwa in großem Stil, sondern einem Einzelfall, wir berichteten.

Das Urteil des LG Bonn wurde nicht nur wegen der Außenwirkung der Höhe des Bußgeldes von uns Datenschützern mit Spannung erwartet – viele erhofften sich auch Aussagen des Gerichts darüber, wie eine datenschutzrechtswidrige Handlung einem Unternehmen zugerechnet werden kann und ob die Herangehensweise der Aufsichtsbehörde (und damit derjenigen der Aufsichtsbehörden insgesamt) zur Bemessung der Höhe – im Wesentlichen am Gesamtumsatz ausgerichtet – richtig war.

Ohne viel zu spoilern: War sie nicht!

Was die erhebliche Herabsetzung schon ohne Kenntnisnahme der Urteilsgründe deutlich macht. Und was aus unserer Sicht im Beratungsalltag angesichts eines offensichtlich zwischen den europäischen Aufsichtsbehörden stattfindenden Überbietungswett­bewerbs – wer kann ein noch höheres Bußgeld verhängen als das vorherige – mehr als überfällig war.

Aber im Einzelnen:

  1. Das LG Bonn hat einen Verstoß des Unternehmens gegen die Verpflichtung zur Einrichtung ange­messener technisch-organisatorischer Maßnahmen (Art. 32 Abs. 1 DSGVO) bejaht. Und obwohl dies ggf. angesichts der fast alles überstrahlenden Bußgeldthematik nahezu untergeht, lässt uns Daten­schützer diese Tatsache durchaus aufhorchen: Obwohl die Urteilsbegründung noch nicht schriftlich vorliegt, hat das Gericht (wohl in Übereinstimmung mit dem BfDI) die Messlatte an die Frage der Angemessenheit der technisch-organisatorischen Maßnahmen offensichtlich sehr hoch gelegt. Zur Erinnerung: 1&1 hatte es seinerzeit zur Authentisierung im Call-Center ausreichen lassen, für die Herausgabe einer Telefonnummer (eines Dritten!) lediglich Name und Geburtsdatum des Betroffenen zu erfragen. Im Nachhinein betrachtet lässt sich hier schnell urteilen, dass das ja vielleicht etwas wenig war… allerdings ereignete sich der Vorfall im DSGVO-Premieren-Jahr 2018 – und es kann bezweifelt werden, dass „damals“ in anderen Call-Centern höhere Authentisierungserfordernisse galten. Mittlerweile dürfte sich herumgesprochen haben, dass dies wohl in keinem Fall ausreicht. Mehr „Honig“ lässt sich in diesem Punkt hoffentlich der Urteilsbegründung entnehmen.
  2. Das Gericht hat darüber hinaus die Unsicherheit darüber, in welchem Verhältnis das OWiG und die DSGVO zueinanderstehen, „zugunsten“ eines Geltungsvorrangs der DSGVO entschieden. Im Detail ging es dabei um die Frage, ob rechtswidrige Handlungen direkt dem Unternehmen zuzurechnen seien, oder ob – wie es das OWiG vorsieht – diese an das Handeln (oder Unterlassen) von Leitungspersonen geknüpft werden müssten. Das Landgericht hat hier unter Heranziehung verschiedener Erwägungsgründe geurteilt, dass – ähnlich dem Kartellrecht – das sog. Funktionsträgerprinzip gelte und daher aufgrund eines Anwendungsvorrangs der DSGVO eine unmittelbare Verbandshaftung angenommen werden könne – im Ergebnis also, dass das Unternehmen insgesamt hafte, unabhängig, wer genau den Verstoß begangen habe. Insoweit hat das Urteil hier Klarheit geschaffen.
  3. Weitere – und für den Beratungsalltag wesentlich wichtigere – Klarheit hat das Gericht in der Frage der Bemessung der Bußgeldhöhe geschaffen. Die Aufsichtsbehörde hatte hier den Gesamtjahres­umsatz als primäre Berechnungsgrundlage für die Bemessung nach Art. 83 Abs. 1 DSGVO herangezogen, und dann anhand Ihres im letzten Jahr vorgestellten Berechnungsmodells (wir berichteten) eine Geldbuße in Höhe von 9, 55 Millionen Euro „errechnet“.

Das Gericht erteilt dieser nahezu ausschließlich am Umsatz orientierten Betrachtungsweise eine klare Absage. Es verweist bei seiner Betrachtung auf die Berechnungskriterien des Art. 83 Abs. 2 DSGVO und hebt dabei explizit hervor, dass der Umsatz nur einer von diversen Berechnungsfaktoren sei – der zwar berücksichtigt werden müsse – insbesondere bei dem Ziel der Abschreckung – aber andere Faktoren mindestens ebenso wichtig seien. Hierzu zählt die Art des Verstoßes, die Sensibilität der betroffenen Daten, die Frage, wie viele Kunden betroffen seien, ob das Unternehmen bewusst gegen die DSGVO-Vorgaben verstoßen habe und ob es ein erstmaliger Verstoß oder eine Wiederholung sei. Auch die sofortige Bereitschaft des Unternehmens, die Maßnahmen nach Bekanntwerden dieser „Sicherheitslücke“ entsprechend anzupassen und die damit für das Unternehmen verbundenen Kosten seien zu berücksichtigen – und wurden hier von der Aufsichtsbehörde nicht angemessen berücksichtigt. Der Konzernumsatz sei, so das Gericht, allenfalls für die „Ahndungsempfindlichkeit“ ausschlaggebend.

Vor diesem Hintergrund hat das Gericht die Bußgeldhöhe auf 900.000 Euro und damit in erheblichem Umfang gesenkt. Das Bußgeld komplett zu „streichen“ war dem Gericht aus verfahrenstechnischen Gründen nicht möglich – die Aufsichtsbehörde hätte dies tun können, was angesichts der Gesamtumstände des Falles gar nicht mal zu abwegig gewesen wäre – auch die DSGVO sieht solche Möglichkeiten vor. Offensichtlich sollten hier jedoch „Pflöcke eingeschlagen“ werden für weitere Bußgelder in ähnlichen Bereichen.

Aus meiner Sicht sind auch 900.000 Euro für diesen singulären Verstoß nach wie vor ein viel zu hohes Bußgeld, weil bei einer sachlichen Betrachtung und Bewertung der o.g. Kriterien die Schwere des Verstoßes insgesamt keine Ahn­dungs­notwendigkeit in diesem Umfang rechtfertigt. Ich freue mich dennoch sehr darüber, dass mit den Kriterien des LG hoffentlich nun insgesamt eine Rückkehr zur Angemessenheit stattfindet.