Entscheidungsinhalt.
Mit Urteil vom 11. November 2020 (Az. 29 OWi 1/20) bestätigte das Landgericht Bonn ein durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) verhängtes Bußgeld gegen den Telekommunikationsdienstleister 1&1.
Einerseits setzte sich das Gerichtes inhaltlich damit auseinander, wann ein Unternehmen nach der Datenschutz-Grundverordnung (DS-GVO) für die Verstöße seiner Mitarbeiter haftet. Diesbezüglich bestätigte es die herrschende Auffassung, dass es im Rahmen von Art. 83 Abs. 4-6 DS-GVO, ähnlich wie im supranationalen Kartellrecht (Art. 101, 102 AEUV), eines Fehlverhaltens von Organen oder Leitungspersonen des Unternehmens nicht bedürfe. Vielmehr hafte das Unternehmen nach der DS-GVO unmittelbar auch für die Verstöße seiner Mitarbeiter.
Andererseits war Gegenstand der Entscheidung des Landgerichts Bonn, wie Bußgelder für datenschutzrechtliche Verstöße im Einzelfall konkret zu bemessen sind. Diesbezüglich reduzierte das Gericht das vom BfDI verhängte Bußgeld erheblich.
Verfahrensgang.
Dem Urteil lag folgender Sachverhalt zu Grunde:
Durch Ausgabe als Ehefrau erfragte die Ex-Partnerin eines 1&1 Kunden über das Callcenter die neue Telefonnummer ihres Ex-Partners, um diesen im Anschluss mehrfach zu belästigen. Als Berichtigungsnachweis für die Herausgabe der neuen Telefonnummer verlangte 1&1 lediglich die Nennung des Namens sowie des Geburtsdatums des Kunden.
Mit Bescheid vom 27. November 2019 verhängte der BfDI gegen 1 & 1 wegen eines grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DS-GVO ein Bußgeld in Höhe von 9.550.000,00 EUR, weil die Abfrage von Name und Geburtsdatum kein angemessenes Schutzniveau darstelle.
Auf den Einspruch von 1&1 hin, entschied das Landgericht im oben genanntem Umfang und reduzierte das verhängte Bußgeld auf 990.000,00 Euro. Da keine der Parteien Rechtsmittel eingelegt hat, ist das Verfahren mittlerweile rechtkräftig abgeschlossen.
Rechtliche Hintergründe.
Verbandshaftung für Unternehmen.
Umstritten zwischen den Parteien war im Verfahren, ob Unternehmen als Verband unmittelbar für ihre Mitarbeiter oder nur bei einem nachgewiesen eigenen Verschulden haften. Das Gericht entschied sich für sich für den ersteren Weg.
Dies begründete es damit, dass zwar das Bundesdatenschutzgesetz (BDSG) auf die §§ 30, 130 Ordnungswidrigkeitengesetzes (OWiG) verweise, die als Haftungsvoraussetzung eine Verletzung durch die Unternehmensleitung vorsehen. Allerdings basieren die Bußgeldvorgaben auf europäischem Recht, sodass diese Rechtsfrage nicht national zu lösen sei.
Das Europarecht kenne dagegen in Anlehnung an das supranationale Kartellrecht eine unmittelbare Haftung eines Unternehmens als Verband. Genau dieses Haftungssystem gelte auch im Datenschutzrecht, denn die DS-GVO verweist im Erwägungsgrund 150 auf den EU-kartellrechtlichen Unternehmensbegriff. Zudem spreche für diese Ansicht, dass die Bußgeldtatbestände in Art. 83 Abs. 4-6 DS-GVO nur Verantwortliche und Auftragsverarbeiter als Adressaten benennen.
Faktoren für die Bußgeldbemessung.
Als Rechtsgrundlage für die Verhängung von Bußgeldern sieht Art. 83 Abs. 4, 5 DS-GVO abhängig vom Datenschutzverstoß Bußgelder bis zu einer Höhe von 20 Mio. EUR oder bis zu 4% des weltweiten Jahresumsatzes vor.
Allerdings legt weder das Europarecht noch das Bundesdatenschutzgesetz fest, nach welchen Faktoren die Bußgelder im Einzelfall bemessen werden. Deshalb hat dies Datenschutzkonferenz, ein unabhängiger Zusammenschluss der deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein Konzept zur Bußgeldbemessung entwickelt. Genau dieses Konzept war auch die Basis für den Bußgeldbescheid des BfDI.
Das Gericht monierte allerdings das festgesetzte Bußgeld und somit auch indirekt das Konzept der Datenschutzkonferenz. Zum einen seien stärker tatbezogene Umstände anstatt einer Fokussierung auf den Unternehmensumsatz in den Blick zu nehmen. Zum anderen sei zugunsten von 1&1 zu berücksichtigen, dass es sich nur um einen Verstoß eines einzelnen Mitarbeiters gehandelt habe und es nicht zu einer Vielzahl von Datenschutzverletzungen gekommen sei.
Praktische Auswirkungen.
Zunächst zeigt das Urteil, dass die verhängten Bußgelder der deutschen Datenschutzbehörden nicht in Stein gemeißelt sind und nicht ohne eine fundierte anwaltliche Prüfung akzeptiert werden sollten.
Auf lange Sicht wird es zudem zu einer Anpassung der Konzepte zur Bußgeldbemessung der Aufsichtsbehörden kommen, denn das aktuelle Urteil dokumentiert, dass diese einer gerichtlichen Überprüfung nicht in Gänze standhalten. Auch stärkere gesetzliche Vorgaben wären in dieser Hinsicht wünschenswert.
Neben der reinen Höhe der Bußgelder sollten Unternehmen den Datenschutz weiter sehr ernst nehmen, denn wie das Urteil gezeigt hat, kann selbst ein Verstoß eines einzelnen Mitarbeiters zu hohen Haftungssummen für das gesamte Unternehmen führen.
Um dauerhaft Bußgelder zu vermeiden, können Unternehmen Datenschutzverstöße dadurch umgehen, indem die Mitarbeiter durch Schulungen für potentielle Verstöße sensibilisiert werden. Ebenso etablierte Prozesse im Unternehmen sollten in regelmäßigen Abständen durch einen externen Datenschutzexperten überprüft werden, der weitere Schwachstellen aufspüren kann. Letztendlich gilt für alle im Datenschutz tätigen Personen, sich ständig fortzubilden und die Vielzahl der datenschutzrechtlichen Neuerungen im Blick zu behalten.
Dieser Blogbeitrag wurde von Christoph Just im Zusammenarbeit mit Dr. Felix Neumann erstellt.