Behördliches Bußgeldberechnungskonzept auf dem Prüfstand

Gericht kippt Millionenbußgeld

14.11.2020

Als der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Ende 2019 die Öffentlichkeit über seine Entscheidung, ein Bußgeld gegen die 1&1 Telecom GmbH zu verhängen, informierte, war die Aufregung insbesondere bei Unternehmen, die in großem Umfang personenbezogene Daten verarbeiten, sehr groß (vgl. die Pressemitteilung des BfDI vom 09.12.2019). Immerhin ging es bei dieser Geldbuße um einen Betrag in Höhe von 9.550.000 Euro. Das war zu diesem Zeitpunkt eines der höchsten Bußgelder, welches die deutschen Aufsichtsbehörden verhängt hatten. Ein höheres Bußgeld haben die Aufsichtsbehörden in Deutschland bisher jeweils nur in zwei anderen Verfahren festgesetzt, nämlich gegen die Deutsche Wohnen SE mit 14.500.000 Euro und gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG mit 35.258.708 Euro.

Verhängt wurde das Bußgeld gegen die 1&1 Telecom GmbH, weil das Unternehmen nach Auffassung des BfDI aufgrund eines unzureichenden Authentifizierungsverfahrens im Rahmen der telefonischen Kundenbetreuung die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten nicht umgesetzt und dadurch einen Verstoß gegen Art. 32 DSGVO begangen hat. Anrufer konnten bei der 1&1 Telecom GmbH allein mit Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Daten dieser Person erhalten. Eine wirklich sichere Identifizierung der Anrufer konnte auf diese Weise nicht erfolgen. Es war also möglich, unrechtmäßig an Daten von Dritten zu gelangen. Ein Missbrauch der auf diese Weise erlangten Daten, beispielsweise die Verwendung zum Stalking, wäre denkbar gewesen.

Die Berechnung des Bußgelds erfolgte anhand des seitens der Aufsichtsbehörden im Rahmen der Datenschutzkonferenz (DSK als Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) entwickelten Konzepts zur Berechnung von Bußgeldern. Über dieses Konzept haben wir bereits in unserem Online-Beitrag vom 14.09.2019 berichtet. Zum Zeitpunkt der Veröffentlichung unseres Blogbeitrags war das Berechnungsmodell seitens der Behörden offiziell noch nicht bekanntgegeben worden. Inzwischen liegt das Konzept vor und kann von der Seite der DSK heruntergeladen werden.

Die Berechnung erfolgt im Wesentlichen so, wie sie in unserem Blogbeitrag damals vorgestellt wurde. Entscheidend ist dabei der Tagessatz, der anhand des weltweiten Umsatzes eines Unternehmens bzw. einer Unternehmensgruppe / eines Konzerns ermittelt wird. Der Umsatz ist nach dem Berechnungsmodell der DSK die Basisgröße für die Bußgeldbemessung. Dabei sind der Schweregrad des Verstoßes, der Grad des Verschuldens und die Frage, inwiefern es sich ggf. um einen Widerholungstatbestand handelt, weitere Faktoren, die bei der Berechnung des Bußgelds nach dem DSK-Bußgeldberechnungskonzept berücksichtigt werden. Das letztlich verhängte Bußgeld ergibt sich dann durch Multiplikation des Tagessatzes mit den sich aus den weiteren zu berücksichtigenden Umständen ergebenden Faktoren und erreicht hierdurch sehr schnell hohe Beträge.

Das Konzept wurde bei der 1&1 Telecom GmbH, die ein Tochterunternehmen des Konzerns 1&1 Drillisch AG ist, sowie bei weiteren Unternehmen im Rahmen der Bußgeldberechnung angewandt. Bereits seit seiner „Geburt“ wurde dieses Konzept jedoch scharf kritisiert, insbesondere deshalb, weil die schwerpunktmäßige Orientierung überwiegend am jährlichen Unternehmens- bzw. Konzernumsatz die im Grundgesetz verankerten Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit verletzen würde. Die Aufsichtsbehörden vertraten hierbei (erwartungsgemäß) eine andere Auffassung.

Nun wurde das Konzept zum ersten Mal durch ein Gericht, nämlich das Landgericht Bonn (LG Bonn), vor welchem die 1&1 Telecom GmbH die Entscheidung des BfDI angegriffen hat, überprüft.

Was hat das LG Bonn entschieden?

In seiner Entscheidung vom 11.11.2020 (Az. 29 OWi 1/20 LG) stellte das LG Bonn fest, dass ein Datenschutzverstoß der 1&1 Telecom GmbH zwar vorliegen würde, dieser jedoch aufgrund verschiedener Faktoren, die für die Entscheidung maßgebend waren, ein Bußgeld in Höhe von 9,5 Mio Euro nicht rechtfertigen würde Vielmehr sei das Bußgeld entsprechend der Pressemitteilung des LG Bonn vom 11.11.2020 „unangemessen hoch“ angesetzt worden. Das LG Bonn hielt ein Bußgeld in Höhe von 900.000 Euro für angemessen. Damit wurde das Bußgeld um mehr als 90 % reduziert.

Welche Faktoren waren maßgebend für die Entscheidung?

Nach Angaben der Pressestelle des LG Bonn sowie Informationen der Fachpresse hat das Gericht, als es die Geldbuße i.H.v. 900.000 Euro festsetzte, neben dem Umsatz im Wesentlichen folgende Faktoren berücksichtigt:

  • Dem Sachverhalt lag lediglich ein einziger Datenmissbrauchsfall zugrunde. Zu einer massenhaften Herausgabe der Daten kam es nicht und konnte es nach Ansicht des Gerichts voraussichtlich auch nicht kommen. Es handelte sich somit um einen nur geringen Datenschutzverstoß.
  • Bei den Daten, die missbraucht wurden, handelte es sich um keine sensiblen Daten. Solche sensiblen Daten wie z.B. Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen konnten im Rahmen des unzureichenden Authentifizierungsverfahrens von 1&1 nicht abgefragt werden.
  • Bei 1&1 lag nach Feststellungen des Gerichts kein Vorsatz vor, so dass das Verschulden als gering anzusehen sei.
  • Die hohe Kooperationsbereitschaft von 1&1 im Rahmen des Bußgeldverfahrens wurde positiv gewertet.
  • Bei dem festgestellten Datenschutzverstoß handelte es sich nicht um eine Wiederholungstat.
  • 1&1 hatte bereits einen hohen Reputationsschaden durch die umfangreiche Berichterstattung erlitten.

Das Gericht hat bei der Bußgeldzumessung schwerpunktmäßig merkbar auf die tatbezogenen Faktoren und nicht auf den Umsatz als Hauptfaktor abgestellt. Denn im Rahmen der Begründung seiner Entscheidung stellte das LG Bonn fest, dass eine rein umsatzbezogene Bußgeldberechnung unverhältnismäßig wäre.

Der Umsatz eines Unternehmens sei in der durch das DSK-Modell vorgesehen Form somit kein geeignetes Zumessungskriterium im Sinne des Art. 83 Abs. 2 DSGVO. Der Umsatz wäre zwar einer der wesentlichen Faktoren für die Berechnung eines Bußgelds nach der DSGVO, jedoch kein Hauptfaktor, wie es das Modell der DSK aktuell vorsieht. Die primär umsatzbezogene Berechnungsweise führe zu Ergebnissen, die vom Verordnungsgeber nicht beabsichtigt sein könnten. Diese Berechnungsgrundlage würde dazu führen, dass bereits leichteste Verstöße zu einem unverhältnismäßig hohen Bußgeld bei umsatzstarken Unternehmen führen könnten. Umgekehrt hätten umsatzschwache Unternehmen auch bei schwerwiegenden Datenschutzverstößen unverhältnismäßig niedrige Bußgelder zu erwarten.

Einer solchen Bußgeldberechnung hat das LG Bonn mit seinem Urteil eine klare Absage erteilt. Damit wurden diejenigen, die das Modell in Bezug auf seine zu starke Umsatzbezogenheit kritisiert haben, bestätigt.

Im Rahmen des Verfahrens geklärte Haftungsfragen

Im Rahmen des Verfahrens vor dem Bonner Landgericht wurde neben der Klärung der Frage der Verhältnismäßigkeit des Bußgeldberechnungsmodells auch die Frage geklärt, inwiefern Unternehmen ohne einen nachgewiesenen Verstoß einer Führungsperson im Rahmen eines Bußgeldverfahrens nach der DSGVO haften. In diesem Zusammenhang bejahte das Gericht die Anwendung des weiten Unternehmensbegriffs der DSGVO und stellte fest, dass es in diesem Fall auf den Nachweis eines Verstoßes nicht ankommen kann und Unternehmen für das Handeln der Führungspersonen auch ohne einen Verschuldensnachweis haften müssen. Im deutschen Ordnungswidrigkeitenrecht, welches gem. § 41 BDSG grundsätzlich Anwendung findet, ist es anders geregelt. Jedoch sei die Anwendung des deutschen Ordnungswidrigkeitenrechts nach Überzeugung des LG Bonn im Rahmen der Bußgeldverfahren nach der DSGVO nicht möglich.

Fazit

Das Verfahren vor dem LG Bonn hat gezeigt, dass das Bußgeldberechnungsmodell der DSK in der aktuellen Form zu keinen sachgerechten Ergebnissen führt und nachgebessert werden muss. Nach unserer Einschätzung wird diese Nachbesserung auch erfolgen. Der BfDI könne die Entscheidung des LG Bonn zwar angreifen, um einen Präzedenzfall, der das behördliche Konzept in Frage stellt, zu vermeiden. Wir gehen jedoch eher davon aus, dass gerade dies nicht passieren wird. Dafür sind die Mängel des Konzepts einfach zu schwerwiegend und das Risiko einer Niederlage in der nächsten Instanz damit zu hoch.

Eins steht dabei, unabhängig davon, ob das Verfahren in die nächste Instanz geht, fest: Das Thema Datenschutz bleibt spannend. Denn selbst wenn man die Begründung des LG Bonn berücksichtigt und den letztendlich festgelegten Bußgeldbetrag anschaut, sind 900.000 Euro auch bei einem umsatzstarken Unternehmen wie 1&1 ein hoher Betrag für einen einzigen kleineren Datenschutzverstoß, bei dem lediglich nicht sensible Daten von nur einer Person betroffen waren.

Benötigen Sie Unterstützung im Rahmen der Umsetzung der Datenschutz-Compliance? Rufen Sie uns an, wir helfen Ihnen gerne!