Urteil: 1&1 Telecom muss Millionen-Bußgeld nicht zahlen

Die DSGVO gibt Datenschützern im Kampf gegen Datenschutz-Sündern eine scharfe Waffe in die Hand. Die EU-weit gültige Verordnung sieht nämlich drakonische Bußgelder bei Verstößen vor, bis zu vier Prozent des gesamten Konzern-Jahresumsatzes. Bei Global Players wie Facebook und Google können da Milliarden zusammenkommen, doch auch bei einem nicht ganz so großen Konzern tun vier Prozent des Umsatzes richtig weh. United Internet verzeichnete 2018 einen Umsatz von rund 5,1 Milliarden Euro, theoretisch wäre also ein DSGVO-Bußgeld von über 200 Millionen Euro denkbar.

Ganz so hoch war die Summe auf dem Bußgeldbescheid nicht, den der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) 2019 der 1&1 Telecom GmbH zustellen ließ. Kelbers Behörde forderte 9,55 Millionen Euro, orientiert am Umsatz der United-Internet-Tochter.

Der Verstoß: Die telefonische Kundenbetreuung des Unternehmens hatte einer Anruferin die Mobilfunknummer eines Bestandskunden herausgegeben, nachdem diese sich mit dem Namen und dem Geburtsdatum des Kunden authentifiziert hatte. Bei dem Kunden handelte es sich um den Ex-Mann der Anruferin, den sie gestalkt hat.

Eine solche Kundenauthentifizierung, so sah es die Behörde, entspricht nicht dem gesetzlichen Standard des §32 DSGVO. 1&1 Telecom habe keine ausreichenden Maßnahmen getroffen, um Kundendaten vor dem Zugriff Unbefugter zu schützen.

Das Millionenbußgeld ist das erste in dieser Höhe, das nach Inkrafttreten der DSGVO 2018 in Deutschland verhängt wurde. 1&1 Telecom half es auch nicht, dass das Unternehmen intensiv mit der Aufsichtsbehörde kooperierte und unverzüglich zusätzliche Sicherheitsmechanismen etablierte, um eine Wiederholung zu verhindern. Offenbar wollte Kelber damit ein Zeichen setzen. In einer Pressemitteilung seiner Behörde heißt es: "Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden."

Das wollte das Telekommunikationsunternehmen so nicht akzeptieren und klagte beim Landgericht Bonn gegen den Bescheid. Für die 1&1-Datenschutzbeauftragte Julia Zirfaß handelt es sich bei dem festgestellten Verstoß um eine Ordnungswidrigkeit, und da sei ein Bußgeld in dieser Höhe unverhältnismäßig. Zirfaß sieht ein Spannungsfeld zwischen dem deutschen Ordungswidrigkeitsrecht und dem europäischen Datenschutzrecht. Denn Ordnungswidrigkeiten können nicht von Unternehmen begangen werden, sondern nur von Personen, und da stellt sich dann die Frage, inwieweit die Handlungen der Personen dem Unternehmen zuzurechnen sind. Nach Ansicht vieler Juristen lässt das Ordnungswidrigkeitsrecht Bußgelder gegen Unternehmen nur dann zu, wenn der Verstoß entweder von einem Mitglied der Unternehmensleitung begangen oder dieses fahrlässig seine Aufsichtspflicht verletzt hat.

Das Urteil, das am gestrigen Mittwoch verkündet wurde (Az. 29 OWi 1/20 LG), korrigiert die Höhe des verhängten Bußgeldes. Statt 9,55 Millionen Euro, so entschied das Gericht, müsse 1&1 Telecom "nur" 900.000 Euro zahlen. "Das Landgericht Bonn hat ausgeführt, dass ein Bußgeld abschreckend sein soll“, kommentiert Rechtsanwältin Mareike Gehrmann von der Kanzlei Taylor Wessing. Der Umsatz könne aber nur der Orientierung dienen und lege die Obergrenze fest. Gehrmann weiter: "Das Gericht bestätigt, dass die mildernden Faktoren Berücksichtigung finden müssen. Im Fall von 1&1 also, ob es sich um einen erstmaligen Verstoß handelt sowie ob und wie das Unternehmen reagiert."

Sollte dieses Urteil Bestand haben, müssten die deutschen Datenschutzbehörden ihr Konzept der Bußgeldbemessung überdenken, meint Gehrmann: "Ein rein umsatzorientiertes Bußgeldkonzept wie es die deutschen Datenschutzbehörden vorgesehen haben, entspricht eben nicht unseren Rechtsstaatsprinzipien."