Das erste Millionenbußgeld wegen eines Verstoßes gegen die DSGVO!

LG Bonn, Urteil vom 11.11.2020 – 29 OWi 1/20: (Fast)Das erste Millionenbußgeld wegen eines Verstoßes gegen die DSGVO!

Sachverhalt

Anlass für das Bußgeldverfahren war eine Strafanzeige eines Kunden eines Telekommunikationsdienstleisters wegen Nachstellung. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt. Anrufer erreichten im Callcenter in der Regel als erstes einen Serviceagenten des sogenannten First-Level-Supports. Dieser erste Ansprechpartner soll den Anrufer zunächst identifizieren. Erfolgte der Anruf unter einer vom Telekommunikationsdienstleister vergebenen Telefonnummer, wurde dem Serviceagenten der jeweilige Datensatz der Telefonnummer unmittelbar angezeigt. Handelte es sich jedoch um einen Anruf von einer fremden oder unterdrückten Telefonnummer wurde der Kunde vom Serviceagenten anhand seines Namens und seines Geburtsdatums bzw. durch Angabe von Kunden-, Vertrags- bzw. Auftragsnummer identifiziert. Der jeweilige Serviceagent war angehalten, den Anrufenden als Berechtigten zu authentifizieren. Hierzu wurde, soweit dies nicht bereits für den Aufruf des richtigen Datensatzes im Rahmen der Identifizierung erforderlich war, das Geburtsdatum abgefragt. Nach der Authentifizierung waren die Callcenter-Agenten ermächtigt, dem Anrufer Auskünfte zu erteilen und Änderungswünsche entgegenzunehmen. Bei bestimmten Themen leiteten die Agenten des First-Level-Support auf der Grundlage eines Berechtigungskonzepts die Anrufer an andere Mitarbeiter weiter. So konnte etwa nur die Rechnungsstelle eine neue Bankverbindung eingeben. Eine nochmalige oder strengere Authentifizierung erfolgte gegenüber diesen weiteren Mitarbeitern nach der Authentifizierung durch den First-Level-Support nicht.

Art. 83 Abs. 4 lit. a) iVm Art. 32 Abs. 1 DSGVO

Bei Verstößen gegen die Bestimmungen nach Artikel 8, 11, 25-39 und 41 Abs. 1-43 DSGVO werden im Einklang mit Art. 83 Abs. 2 DSGVO Geldbußen von bis zu zehn Millionen Euro oder im Fall eines Unternehmens von bis zu zwei Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

Verstoß gegen Art. 32 Abs. 1 DSGVO

In Betracht kommt ein Verstoß gegen Art. 32 Abs. 1 S. 1 DSGVO. Danach haben Datenverantwortliche geeignete technische bzw. organisatorische Maßnahmen zu treffen, um den mit der Datenverarbeitung einhergehenden Risiken für die Rechte und Freiheiten natürlicher Personen zu begegnen. Das zu gewährleistende Schutzniveau muss angemessen sein. Bezüglich der Beurteilung, was angemessen ist, sind der Stand der Technik, die Implementierungskosten, sowie Art, Umfang, Umstände und Zwecke der Verarbeitung und die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Fraglich ist, ob die Vorgaben des betroffenen Telekommunikationsunternehmens diesem Standard gerecht werden.

In der Regel verläuft die Kommunikation über ein Callcenter anonym. Geht es nun um Vertragsangelegenheiten mit der Folge, dass der Callcenter-Agent auf Daten des Kunden zurückgreifen muss, muss zunächst der Kunde identifiziert werden. Werden dann noch personenbezogenen Daten durch das Callcenter weitergegeben, so muss sichergestellt werden, dass der anrufende Kunde tatsächlich die berechtigte Person ist. Letzteres setzt voraus, dass eine sichere Methode vorliegt, mit der die Berechtigung geprüft werden kann.

Hierfür stehen verschiedene Methoden zur Verfügung, die jeweils eine unterschiedliche Sicherheit gewährleisten. Zur Auswahl der im Einzelfall anzuwendenden Methode ist eine Ermittlung und Bewertung der spezifischen Risiken auf der Grundlage der Eintrittswahrscheinlichkeit, sowie der Schwere eventuell nachteiliger Folgen für die betroffenen Personen durchzuführen. Dabei gilt: Je sensibler die Daten, desto höher sind die Anforderungen an ihren Schutz.

Vorliegend hatten die Callcenter-Agenten des betroffenen Telekommunikationsunternehmens keinen Zugriff auf besonders sensible Daten im Sinne von Art. 9 Abs. 1 DS-GVO. Dies sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Betroffen waren lediglich wenig sensible Daten, also allgemeine Kontaktdaten und die Bankverbindung. Das sind Daten, die regelmäßig bei Vertragsschlüssen, bei behördlichen Vorgängen oder aus sonstigen Gründen Dritten zur Verfügung gestellt werden. Daneben waren die Vertrags- und Rechnungsdaten sowie die Kundenkorrespondenz vom Callcenter-Agenten einsehbar, also Daten, die unmittelbar aus dem Vertragsverhältnis mit der Betroffenen stammen und an deren Kenntnisnahme Dritte regelmäßig kein Interesse haben.

Die Wahrscheinlichkeit, dass Dritte über das Callcenter der Betroffenen versuchen würden, unberechtigt diese Daten in Erfahrung zu bringen, war somit gering. Ein massenweiser Zugriff auf die Daten einer großen Anzahl von Kunden des Telekommunikationsunternehmens durch Einsatz entsprechender Schadprogramme war über die Kontaktaufnahme mittels Callcenter kaum zu erwarten. Zur Preisgabe der Informationen bzgl. eines Kunden musste der Callcenter-Agent jeweils durch ein geschicktes, arglistiges täuschendes Gespräch überhaupt erst einmal veranlasst werden. Das einzige, realistische Risikoszenario ist also der Angriff Dritter auf die Daten individueller Kunden, insbesondere aus persönlichen Motiven heraus.

Gefährdet waren also Personen, bei denen ganz allgemein die Gefahr einer unerwünschten Kontaktaufnahme besteht. Insbesondere geht es um Personen, bei denen ein tatsächliches Risiko besteht, dass sie Opfer von Straftaten werden, sei es durch Nachstellung (§ 238 StGB), Bedrohung (§ 241 StGB) oder Freiheitsberaubung (§ 239 StGB). Zudem besteht die Gefahr einer Schädigung durch unberechtigten Datengebrauch. Denkbar ist, dass Betrüger über das Callcenter persönliche Informationen, etwa die letzten vier Ziffern der IBAN eines Kunden, in Erfahrung bringen, um diese Daten an anderer Stelle wiederum zur Authentifizierung zu verwenden. Die insoweit drohenden Gefahren reichen über den Bereich der Bagatelle hinaus. Es sind im Einzelfall gravierende materielle und insbesondere immaterielle Schäden möglich.

Fraglich ist somit, ob das zum Tatgeschehen angewendete Authentifizierungsverfahren der Betroffenen durch Abfrage von Namen und Geburtsdatum den dargelegten Risiken ausreichend Rechnung getragen hat.

Name und Geburtsdatum des Kunden stehen einem unüberschaubar großen Personenkreis zur Verfügung. Sie sind im Familien-, Bekannten- und Kollegenkreis vielfach bekannt oder verfügbar. Bei vielen Personen sind Name und Geburtsdatum darüber hinaus auch einfach im Internet zu ermitteln. Somit ist das Erfragen dieser Informationen nicht ausreichend, um sicherzustellen, dass der Anrufende der im System erfasste Vertragspartner ist.

Erst recht sind die Daten folglich ungeeignet, eine Vermutung für eine Berechtigung in Form einer Vertretungsmacht des Anrufenden zu begründen, wenn Anrufender und Kunde erkennbar personenverschieden sind, weil ein Dritter im Namen des Kunden anruft.

Dem Telekommunikationsunternehmen wäre es ohne unzumutbaren Aufwand möglich gewesen, den Sicherheitsstandard zu erhöhen. Bereits durch das zusätzliche Abfragen von Spezialwissen, wie beispielweise der Kunden- oder Rechnungsnummer, wäre die Annahme, dass der Anrufende tatsächlich der Kunde oder ein Berechtigter ist, belastbarer gewesen. Denn auf diese Daten haben regelmäßig nur der Kunde selbst oder sein nahes Umfeld Zugriff.

Bei dem betroffenen Telekommunikationsunternehmen kannte man das konkrete Schutzniveau im Callcenter und unterlag keiner Fehlvorstellung in tatsächlicher Hinsicht. Im Sinne einer Tatsachenkenntnis handelte das Unternehmen somit vorsätzlich.

Bußgeldbemessung nach dem LG Bonn

Der Bußgeldrahmen ist Art. 83 Abs. 4 DS-GVO zu entnehmen. Danach kann bei einem Verstoß gegen Art. 32 DS-GVO eine Geldbuße von bis zu zehn Millionen Euro verhängt werden. Im Fall eines Unternehmens ist zudem eine Geldbuße von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich, falls dieser Betrag höher ist.

Gemäß Art. 83 Abs. 1 DSGVO stellt jede Aufsichtsbehörde sicher, dass die verhängte Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. In Art. 83 Abs. 2 S. 2 DSGVO finden sich Zumessungskriterien, die zu berücksichtigen sind. Von Bedeutung sind dabei insbesondere Art, Schwere und Dauer des Verstoßes, die Zahl der von der Verarbeitung betroffenen Personen, das Ausmaß des Schadens, die Kategorie der betroffenen personenbezogenen Daten, das Bemühen des Unternehmens, den Schaden zu begrenzen, Art und Umfang der Kooperation mit den Datenschutzbehörden sowie der Grad der Verantwortlichkeit.

Der Umsatz des Unternehmens ist in Art. 83 Abs. 2 S. 2 DSGVO nicht als Zumessungsgesichtspunkt genannt. Allerdings folgt dadurch nicht aus einem Umkehrschluss, dass dem Umsatz des Unternehmens bei der Bemessung keine Bedeutung zukommt. Gemäß Art. 83 Abs. 1 DSGVO müssen Geldbußen gegen Unternehmen wirksam und abschreckend sein. Dies richtet sich auch nach der Ahndungsempfindlichkeit des jeweiligen Unternehmens. Je größer das Unternehmen ist, desto geringer ist regelmäßig die Ahndungsempfindlichkeit und desto höher ist somit das Bußgeld zu bemessen, damit es seine spezialpräventive Wirkung überhaupt entfalten kann.

Es darf jedoch nicht vernachlässigt werden, dass in Art. 83 Abs. 2 S. 2 in erster Linie tatbezogene Gesichtspunkte für die Bemessung angeführt werden. Eine Bemessung des Bußgeldes darf sich somit nicht gänzlich auf den Unternehmensumsatz fokussieren. Einen solchen Ansatz hat jedoch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verfolgt (der BfDI hatte das Telekommunikationsunternehmen mit einem Bußgeld in Höhe von 9 550 000 EUR belegt). Eine solche Bemessungsmethode versagt allerdings bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen. In solchen Fällen kommt es zum Widerspruch der vom Umsatz orientierten Zumessung zu der Zumessung anhand der Kriterien in Art. 83 Abs. 2 S. 2 DSGVO. In jenen Fällen haben die tatbezogenen Zumessungsgesichtspunkte Vorrang.

Jenes Verhältnis der Kriterien ergibt sich auch aus Art. 83 Abs. 4 DSGVO. Danach ergibt sich für schwere Datenschutzverstöße umsatzschwacher Unternehmen gerade keine allgemeine am Umsatz orientierte Bußgeldobergrenze. Vielmehr ist eine Obergrenze von 10 000 000 EUR vorgesehen, die bei sehr umsatzstarken Unternehmen erhöht wird. Der Gesetzgeber ermöglicht es daher den Aufsichtsbehörden und Gerichten, bei schweren Datenschutzverstößen auch gegen umsatzschwache Unternehmen hohe, gegebenenfalls auch existenzbedrohende Geldbußen zu verhängen.

Bei gering gewichtigen Datenschutzverstößen umsatzstarker Unternehmen ist eine maßgebliche Orientierung am Umsatz bei der Zumessung der Geldbuße in gleicher Weise nicht zielführend. Eine Geldbuße muss nach Art. 83 Abs. 1 DSGVO zwar wirksam und abschreckend sein. Beide Gesichtspunkte verlieren bei Datenschutzverstößen von geringem Gewicht aber immens an Bedeutung. Stets muss die Geldbuße nach Art. 83 Abs. 1 DSGVO auch verhältnismäßig sein.

Bei dem vorliegenden Verstoß des Telekommunikationsunternehmens gegen Art. 32 DSGVO handelt es sich um einen Datenschutzverstoß mit überwiegend mildernden Gesichtspunkten. Weder waren sensible Daten betroffen waren, noch kam es zu einer nachweisbaren Schädigung des Kunden. Unter umfassender Abwägung aller Umstände hat das LG Bonn trotz des hohen Bußgeldrahmens eine Geldbuße in Höhe von 900 000 EUR anstatt der vom BfDI geforderten 9 550 000 EUR festgelegt.

Johannes Pfaff

20:49 11 Dec 18

Kompetente und super fixe Beratung rund um die Umsetzung der DSGVO in unserem Unternehmen und der Erstellung einer Datenschutzerklärung! Würde ich wieder hier machen lassen.

Mona Damian

18:21 04 Dec 18

Wir werden als gemeinnütziger Verein von datenschutzfrankfurt.de umfassend und kompetent beraten und sind dankbar, einen so sachkundigen Dienstleister als externen DSB bestellt zu haben. Herzlichen Dank für die gute Zusammenarbeit!

Peter Lachmund

10:56 05 Dec 18

Aus persönlichen Gesprächen mit anderen Selbständigen oder Kunden wurde mir bewusst. dass das Thema Datenschutz häufig unterschätzt wird. Aus diesem Grund war es mir wichtig Profis an meiner Seite zu wissen. Gerade als Selbständiger ist man ständig einem potenziellen Datenschutz-Risiko ausgesetzt und dann ist es wichtig, sich auf einen sehr guten Partner zum Thema Datenschutz verlassen zu können. Seit ich mit den externen Datenschutzbeauftragten und Rechtsanwälten von DatenschutzFrankfurt.de zusammenarbeite habe ich ein sehr gutes und sicheres Gefühl. Man hat vom ersten Telefonat an das Gefühl... hier stimmt nicht nur das Know How zum Thema Datenschutz, sondern man trifft auf empathische Menschen die mich verstehen. Meine TOP Empfehlung. Peter L. aus Kelkheim

R R

09:22 26 Dec 18

Vertrauensvolle und kompetente Zusammenarbeit mit den Datenschutz Spezialisten der DatenschutzFrankfurt.de bzgl der Umsetzung der DSGVO in unserem online Webshop.

Flx Hbl

13:24 13 Apr 19

Top Beratung! Endlich sicher fühlen mit der DSGVO. Tausend Dank

Jack .Mcphee

07:17 16 Apr 19

Vielen Dank an das Team von datenchutzfrankfurt.de bei der kompetenten Beratung und Umsetzung der DSGVO auf unserer Unternehmenshomepage.

Alican T

12:40 24 Apr 19

Wir haben für unser Unternehmen einen externen Datenschutzbeauftragten gesucht und bei datenschutzfrankfurt.de fündig geworden. Seit dem müssen wir uns keine Sorge mehr um die Umsetzungen der rechtlichen Anforderungen der DSGVO machen. Vielen Dank für die kompetente Unterstützung.

Lukas Neumann

08:14 13 May 19

Vielen Dank für die kompetente und vertrauensvolle Beratung rund um das Thema Beschäftigtendatenschutz und dessen Umsetzung in unserem Unternehmen

Kenan Celikkal

13:29 13 May 19

Vielen dank für die schnelle Erstellung einer abmahnsicheren Datenschutzerklärung für unsere Homepage.

Michi S.

15:50 29 Oct 19

Tolles Team, dass mir unglaublich schnell geholfen hat meine Homepage auf den aktuellen Stand der DSGVO zu bringen. Vielen Dank.......

Christian

23:01 29 Oct 19

Im Zuge einer Unternehmensgründung haben wir uns vorher beim Team von datenschutzfrankfurt umfassend um die notwendigen Voraussetzungen und Bestimmungen rund um den Datenschutz beraten lassen. Vielen Dank für das freundliche, kompetente und sehr interessante Gespräch

Dieter Schöppen

19:52 12 Mar 20

Vielen Dank für die ständige, freundliche und kompetente Unterstützung als externer Datenschutzberater für unser Unternehmen. Absolute Empfehlung

Matthias Lastowiecki

23:42 21 Dec 20

Die Zusammenarbeit mit Herrn Florian Kaiser ist hervorragend - er begleitet uns seit längerem zu unserer vollsten Zufriedenheit als externer Datenschutzbeauftragter. Wir freuen uns weiterhin auf eine lange und erfolgreiche Zusammenarbeit, vielen Dank!

COGITARIS GmbH

16:02 19 Feb 24

Die Beratung durch Datenschutzberatung Frankfurt ist für unser Unternehmen ein absoluter Gewinn. Die kompetente und umfassende Beratung hilft uns, den Datenschutz in unserem Unternehmen auf ein neues Niveau zu heben. Besonders die freundliche und zielgerichtete Zusammenarbeit mit dem Team ist super.

(Fast) Das erste Millionenbußgeld wegen eines Verstoßes gegen die DSGVO!

Sachverhalt

Art. 83 Abs. 4 lit. a) iVm Art. 32 Abs. 1 DSGVO

Verstoß gegen Art. 32 Abs. 1 DSGVO

Bußgeldbemessung nach dem LG Bonn

Leave a Reply Cancel Reply

Neueste Beiträge

Neueste Kommentare

Archive

Kategorien

Meta

In Zusammenarbeit mit

Sprechzeiten

Kontakt

Anschrift