Die schriftlichen Urteilsgründe zu dem Urteil des LG Bonn in Sachen DSGVO-Bußgeldverfahren gegen 1&1 iHv. 900.000,- EUR liegen vor (LG Bonn, Urt. v. 11.11.2020 - Az.: 29 OWi 1/20).
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hatte gegen den Telekommunikations-Anbieter 1&1 Telecom GmbH ein DSGVO-Bußgeld iHv. 9,5 Mio. EUR verhängt, weil ein Anrufer bei der Kundenbetreuung des Unternehmens bereits bei Nennung von Namen und Geburtsdatum weitergehende Informationen zu personenbezogenen Kundendaten erhalten konnte, vgl. unsere Kanzlei-News v. 10.12.2019.
Das LG Bonn reduzierte die Höhe des Bußgeldes auf 900.000,- EUR, vgl. unsere Kanzlei-News v. 12.11.2020.
Nun liegen die schriftlichen Entscheidungsgründe vor (LG Bonn, Urt. v. 11.11.2020 - Az.: 29 OWi 1/20).
Lesenswert ist zunächst vor allem der Sachverhalt, da dieser bislang nur rudimentär bekannt war. Die 1&1 Telecom GmbH hatte folgende Identitätsprüfung firmenintern vorgeschrieben:
"Anrufer erreichten im Callcenter in der Regel als erstes einen Serviceagenten des First-Level-Supports. Dieser musste den Anrufer zunächst identifizieren. Erfolgte der Anruf unter einer von (...) vergebenen Telefonnummer wurde dem Serviceagenten der jeweilige Datensatz der Telefonnummer direkt angezeigt. Handelte es sich dagegen um einen Anruf von einer fremden oder unterdrückten Telefonnummer wurde der Kunde vom Serviceagenten anhand seines Namens und seines Geburtsdatums oder – alternativ – durch Angabe von Kunden-/Vertrags- bzw. Auftragsnummer identifiziert.
Der jeweilige Serviceagent war angehalten, den Anrufenden als Berechtigten zu authentifizieren. Hierzu wurde – soweit dies nicht bereits für den Aufruf des richtigen Datensatzes im Rahmen der Identifizierung erforderlich war – das Geburtsdatum abgefragt.
Nach der Authentifizierung waren die Callcenter-Agenten ermächtigt, dem Anrufer Auskünfte zu erteilen und Änderungswünsche entgegenzunehmen. Bei bestimmten Themen leiteten die Callcenter-Agenten des First-Level-Support auf der Grundlage eines Berechtigungskonzepts die Anrufer an andere Mitarbeiter weiter. So konnte etwa nur die Rechnungsstelle eine neue Bankverbindung eingeben. Eine nochmalige oder strengere Authentifizierung erfolgte gegenüber diesen weiteren Mitarbeitern nach der Authentifizierung durch den First-Level-Support nicht.
Für den Fall, dass für den Callcenter-Agenten erkennbar eine andere Person als der Kunde im Callcenter anrief, hatte die Betroffene keine umfassende Regelung getroffenen."
Der Sachverhalt, der diese gesamte Angelegenheit ins Rollen gebracht hatte, war folgender:
"Die Möglichkeit, als (vermeintliche) Familienangehörige eines Kunden anzurufen, machte sich die ehemalige Lebensgefährtin eines Kunden von (...) zunutze.
Ihr Ex-Partner hatte seine vorherige Mobilfunknummer bewusst geändert, um von ihr nicht mehr kontaktiert zu werden. Aufgrund einer offenen Forderung war es zu einer Sperrung des Mobilfunkanschlusses des (...)-Kunden gekommen, was der ehemaligen Lebensgefährtin offenbar bekannt war.
Am 23.12.2018 rief sie im Callcenter der Betroffenen an, gab sich als Ehefrau des Kunden aus und erklärte, dass sie die offene Forderung beglichen habe. Da sie den Namen und das Geburtsdatum ihres Ex-Partners nennen konnte, wurde sie durch die Callcenter-Agentin als Berechtigte behandelt. Im Zuge des Gesprächs wurde der Anruferin die neue Telefonnummer ihres Ex-Partners bekannt gegeben. Dies nutzte sie in der Folge für belästigende Anrufe, weswegen der Kunde von K bei der Polizei (...) Anzeige wegen Nachstellung erstattete."
Wegen dieses einzelnen Sachverhaltes verhängt der BfDI das besagte Bußgeld.
Im Rahmen der gerichtlichen Auseinandersetzungen legte die Beklagte auch eine Analyse der Identitätsprüfung der anderen Telekommunikations-Anbieter am Markt vor. Und die sah wie folgt aus:
"- P: Tochter ruft ausdrücklich für ihre Mutter an und nennt deren Kundennummer, Namen und Geburtsdatum. Eine Vollmacht wird nicht verlangt.
- J: Der Anrufer authentifiziert sich über die im Vertrag hinterlegte Mobilnummer unter Angabe von Geburtsdatum und Anschrift.
- Q: Der Anrufer authentifiziert sich mit Kundennummer, Namen, Geburtsdatum.
- O: Der Anrufer muss die OCard-Nummer angeben.
- E: Anrufer wird nach seiner 4-stelligen PIN gefragt. Falls diese nicht zur Hand ist, wird eine Authentifikations-TAN auf das Endgerät geschickt.
- R: Falls ein Anrufer seine Vertragskontonummer nicht zur Hand hat, genügt die Angabe von Nachname, Postleitzahl und Geburtsdatum.
- X2: Es genügt die Angabe von KFZ-Kennzeichen, Name und Geburtsdatum.
- W2: Falls ein Anrufer seine Vertragsnummer oder Kundennummer nicht zur Hand hat, genügt die Angabe des Namens und des Geburtsdatums des Vertragsinhabers.
- A2 GmbH: Es wird die Kundennummer, Name, Anschrift und Geburtsdatum abgefragt.
- M2: Es genügt die Kundennummer, falls nicht zur Hand reichen auch Name und Geburtsdatum."
Das LG bejaht die umstrittene Frage, ob für datenschutzrechtliche Bußgeldverfahren die kartellrechtlichen Prinzipien greifen, sodass das Unternehmen unmittelbar strafrechtlichen haftet. Die Neuartigkeit dieser Verantwortlichkeit erwähnt das Gericht selbst ausdrücklich in seinen Entscheidungsgründen:
"Das deutsche Sanktionsrecht kennt eine solche unmittelbare Haftung von Unternehmen bislang nicht. (...)"
Inhaltlich nimmt das Gericht einen Verstoß an, da nicht ausreichend die Identität geprüft worden sei:
"Gegen diese Vorgaben hat die Betroffene verstoßen, indem sie es im Regelfall in ihren Callcentern ausreichen ließ, dass durch die Callcenter-Agenten zur Authentifizierung des Anrufers Name und Geburtsdatum abgefragt wurden. Dies genügte sogar, wenn erkennbar nicht der Kunde selbst, sondern ein Dritter für diesen anrief. Eine solche Authentifizierung gewährleistete unter Berücksichtigung der Kriterien des Art. 32 Abs. 1 DS-GVO keinen ausreichenden Schutz der für die Callcenter-Agenten einsehbaren Kundendaten vor der Preisgabe an unberechtigte Anrufer."
Inzwischen hat die Beklagte eine Telefon-PIN eingeführt, mit der sich identifiziert werden muss.
Eine klare Absage erteilt das Gericht dem Bußgeld-Katalog der deutschen Datenschutzbehörden. Dieses sei viel zu abstrakt und in keiner Weise schuldangemessen:
"Es darf jedoch nicht aus dem Blick geraten, dass die DSGVO in Art. 83 Abs. 2 S. 2 in erster Linie tatbezogene Gesichtspunkte für die Bemessung aufführt.
Eine Bemessung des Bußgeldes durch Ermittlung eines sich nach dem Umsatz richtenden Grundwertes für das Bußgeld, welcher je nach Schwere des Datenschutzverstoßes mit einem Faktor multipliziert wird, ist aus diesem Grund und wegen der damit einhergehenden Fokussierung auf den Unternehmensumsatz problematisch.
Einen solchen Ansatz hat der BfDI in Anlehnung an das Bußgeldkonzept der Datenschutzkonferenz vom 19.10.2019 bei der Bußgeldbemessung verfolgt. Eine solche Bemessungsmethode mag bei Datenschutzverstößen von mittlerem Gewicht zu angemessenen Ergebnissen führen. Sie versagt jedoch bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen, also in denjenigen Fällen, in denen eine maßgeblich am Umsatz orientierte Zumessung in Widerstreit gerät zu der Zumessung anhand der Kriterien in Art. 83 Abs. 2 S. 2 DS-GVO.
Hier haben die tatbezogenen Zumessungsgesichtspunkte in Art. 83 Abs. 2 S. 2 DS-GVO Vorrang. Der Umsatzhöhe kommt zwar weiterhin Bedeutung zu. Im Verhältnis zur Tatschuld verliert der Umsatz jedoch umso mehr an Bedeutung, desto eindeutiger die Bewertung der Schwere des Datenschutzverstoßes anhand der tatbezogenen Umstände in die eine oder andere Richtung ausfällt."