Unverhältnismäßige DSGVO-Bußgelder
Das Landgericht Bonn hat Mitte November das gegen einen Telekommunikationsdienstleister wegen Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) verhängte Bußgeld drastisch reduziert. Das durch den Bundesbeauftragten für den Datenschutz und Informationsfreiheit (BfDI) verhängte Bußgeld sei zwar dem Grunde nach berechtigt, aber unangemessen hoch. Unternehmen sollten jetzt gegen sie erlassene Bußgelder prüfen.
Wenn der Datenschutz versagt: unerwünschter Anruf trotz geheimer Telefonnummer.
Anlass für das Bußgeldverfahren war eine Strafanzeige eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann genutzt, um den Mann telefonisch zu belästigen.
Der BfDI verhängte deshalb im November 2019 gegen den Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen Euro wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.
Gegen diesen Bescheid hat der Telekommunikationsdienstleister Einspruch eingelegt. Die Höhe des Bußgeldes hat das Gericht auf 900.000 Euro herabgesetzt, da das Verschulden des Telekommunikationsdienstleisters gering sei. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigten, dass es sich – auch nach der Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handele. Dieser habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.
Dr. René Sandor, Rechtsanwalt bei der internationalen Wirtschaftskanzlei CMS Deutschland, rät Unternehmen, zu prüfen, ob gegen sie erlassene Bußgelder der Höhe nach überhaupt angemessen sind: „Das Landgericht Bonn erteilt mit seinem Urteil auch der bisherigen Bußgeld-Formel der Datenschutzbehörden eine Absage, die zuerst auf den Unternehmensumsatz schaute. Die Schwere eines Datenschutzverstoßes ist ausschlaggebend für die Höhe eines Bußgelds, nicht die Finanzkraft eines Unternehmens.“
chk