Am 09.12.2019 informierten der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie der Telekommunikationsanbieter 1&1 in Form von Pressemitteilungen die Öffentlichkeit über die Verhängung eines Bußgeldes in Höhe von 9.550.000 Euro. Anlass für die Verhängung des Bußgeldes war ein angezeigterDatenschutzverstoß gegen Art. 32 der DSGVO. Dem betroffenen Kommunikationsanbieter wurde dabei eine einzelne rechtswidrige Herausgabe eines personenbezogenen Datums an Dritte angekreidet. Wir berichteten hier und hier.
Entscheidung zwischenzeitig rechtskräftig
Nachdem nunmehr ein ganzes Jahr verstrichen ist und das betroffene Unternehmen – es hatte Widerspruch gegen das verhängte Bußgeld eingelegt – am 11.11.2020 vom zuständigen Landgericht (LG) in Bonn verurteilt wurde, steht zwischenzeitlich rechtswirksam fest, dass von dem einst größten Bußgeld, das vom BfDI je verhängt wurde, nicht viel übriggeblieben ist. Das zuständige LG Bonn, vertreten durch seine Pressesprecherin, bestätigte auf Nachfrage die Rechtskraft des Urteils vom 11.11.2020 (Az. 29 OWi 1/20). Die Beteiligten verständigten sich einvernehmlich darauf, das Urteil in der ausgesprochenen Form zu akzeptieren und keine Rechtsmittel gegen dieses einzulegen.
Im Wesentlichen sahen die zuständigen Richter es als erwiesen an, dass das verhängte Bußgeld weitestgehend rechtmäßig ausgesprochen wurde. Lediglich in den Punkten der Bußgeldbemessung und dem Verschuldungsgrad des Unternehmens, waren die Vorsitzenden anderer Meinung und korrigierten das Bußgeld um mehr als 90% auf 900.000 Euro. In der Frage, ob und in welchem Umfang eine datenschutzwidrige Handlung direkt dem Unternehmen zugerechnet werden kann, vertraten die Vorsitzenden die Auffassung, dass die DSGVO eine unmittelbare Verbandshaftung regele und sich somit vollständig gegen juristische Personen richte.
Ein Blick über den Tellerrand
Ob auch die vom LG Bonn verhängte Sanktion gegen 1&1 als zu hoch gewertet werden kann, soll an dieser Stelle nicht weiter thematisiert werden. Hingegen sollen interessante Verfahren aus dem EU-Ausland aufzeigen, welche Sanktionen dortige Aufsichtsbehörden für vergleichbare datenschutzwidrige Vergehen von Unternehmen und Behörden in der Vergangenheit verhängt haben.
In einem Bußgeldverfahren aus dem Jahr 2019, das durch die Datenschutzaufsichtsbehörde in Bulgarien sanktioniert wurde, hatte sich der Adressat, in diesem Fall die nationale Finanzbehörde, ein Bußgeld in Höhe von 2.607.495 Euro für einen vergleichbaren Verstoß gegen Art. 32 DSGVO eingehandelt. Schadensausmaß damals war der Zugriff von Unbekannten auf personenbezogene Daten von 6 Mio. betroffenen Personen. 1&1 hingegen wurde eine einzelne rechtswidrige Herausgabe eines personenbezogenen Datums zur Last gelegt.
In einem spanischem Bußgeldverfahren aus dem Jahr 2019, erging gegen einen spanischen Energieversorger ein Bußgeld in Höhe von 60.000 Euro. Damals hatte der Energieversorger personenbezogene Daten eines Kunden an eine dritte Person herausgegeben, ohne dass diese im Vorfeld verifiziert wurde. Auch dieses Verfahren ähnelt dem deutschen Verfahren gegen das Unternehmen 1&1 in Form des Verstoßes gegen die DSGVO. Lediglich die verhängten Bußgelder in beiden Verfahren unterscheiden sich in ihrer Höhe.
Die rumänische Aufsichtsbehörde hatte im Jahr 2020 gegen die Telekom Romania Communications SA, einen lokalen Telekommunikationsanbieter, ein Bußgeld in Höhe von 3000 Euro verhängt (nachzulesen hier)
Das Unternehmen hatte keine ausreichenden technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 lit. b DSGVO implementiert. Somit war es Dritten- im Namen vom betroffenen Kunden unter der Verwendung seiner Daten aus dem bereits bestehenden Vertrag – möglich, weitere Verträge in seinem Namen abzuschließen. Neben dem erhobenen Bußgeld ordnete die Aufsichtsbehörde an, dass in Zukunft Maßnahmen ergriffen werden müssen, womit eine rechtswidrige Verwendung personenbezogener Kundendaten ausgeschlossen und eine unbefugte Weitergabe unterbunden wird.
Ausblick
Die für die Praxis weit wichtigere Fragestellung lautet, welche Konsequenzen Aufsichtsbehörden aus diesem Urteil im Hinblick auf die Berechnung von Bußgeldern für zukünftige Datenschutzverstöße ziehen werden und inwieweit das vom Gericht kritisierte Bußgeldkonzept der DSK überarbeitet wird. Denn durch die Ausgestaltung des aktuell angewandten Konzepts, lässt sich mutmaßen, dass in Zukunft weitere Bußgelder durch zuständige Gerichte einkassiert werden. Für die Praxis lässt sich daraus herleiten, dass Datenschutzverstöße in Zukunft zwar weiterhin sanktioniert, diese aber mit großer Wahrscheinlichkeit im Verhältnis zum Verstoß angemessen und verhältnismäßig ausfallen werden. Mit der Widerspruchsankündigung von Notebooksbilliger.de gegen ein verhängtes Bußgeld in Höhe von 10,4 Millionen Euro steht nämlich bereits das nächste Verfahren in den Startlöchern (wir berichteten). Das Unternehmen kritisiert insbesondere die Höhe des erhobenen Bußgeldes, das durch die Aufsichtsbehörde in Niedersachsen ausgesprochen wurde, und ist der Ansicht, dass die Sanktion in keiner Relation zur Unternehmensgröße und Finanzkraft, sowie zur Schwere des angeblichen Verstoßes stehe. Ob das – für das Verfahren – zuständige Gericht zugunsten des Unternehmens entscheiden wird oder wohlmöglich das Bußgeld in der Höhe bestätigt, kann mit Spannung erwartet werden. Denn nur mit ausreichend vorhandener Rechtsprechung, können Bußgelder in Zukunft bewertet und eingeordnet werden. Was zum jetzigen Zeitpunkt definitiv feststeht, ist die Tatsache, dass Datenschutzverstöße nicht ohne Folgen bleiben und Unternehmen für datenschutzwidrige Handlungen Einzelner unmittelbar haften und damit sanktioniert werden können!
17. Januar 2022 @ 7:01
Ich halte diese Datenschutzregelungen für maßlos überzogen. Bei einer Rechtsverletzung sollte die Strafe im Verhältnis zum Schaden stehen. Einfache Körperverletzungen werden i. d. R. eingestellt. Welchen Schaden hat denn der 1 und 1-Kunde erlitten? Merkt denn keiner, welche Entartungen der Zeitgeist mit dem Datenschutz gebiert?