Das LG Bonn hat mit Urteil vom 10.11.2020 – 29 OWi 1/20 LG – entschieden, dass das Bußgeld, welches der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI), Professor Ulrich Kelber, gegen 1&1 aufgrund eines Verstoßes gegen die DSGVO verhängt hat, dem Grunde nach berechtigt, aber unangemessen hoch sei. Die Kammer hat das Bußgeld von ursprünglich 9,55 Mio. Euro daher auf 900.000 Euro herabgesetzt.
Datenschutzversto0 mangels hinreichend sicheren Authentifizierungsverfahrens zum Schutz der Kundendaten
Die Kammer hat ausgeführt, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf. In der Sache liege ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sog. Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe.
Vermeidbarer Rechtsirrtum hinsichtlich der Angemessenheit des Schutzniveaus
Die Betroffene habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern sei dieser Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.
Herabsetzung des Bußgelds
Die Höhe des Bußgeldes hat die Kammer in ihrer Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigten, dass es sich – auch nach der Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.
Stellungnahme des BfDI
Kelber sieht sich durch die Entscheidung des LG Bonn bestätigt: „Das LG Bonn hat heute geurteilt, dass 1&1 für seinen Verstoß haftet. Das zeigt: Datenschutzverstöße bleiben nicht ohne Folgen.“ (PM BfDI Ausgabe 28/2020 vom 11.11.2020) (PM LG Bonn vom 11.11.2020)