Verstoß gegen DSGVO - Bußgeld gegen Telekommunikationsdienstleister

Der Sach­ver­halt:
Der Bun­des­be­auf­tragte für den Da­ten­schutz und In­for­ma­ti­ons­frei­heit (BfDI) hat ge­gen die Be­trof­fene, einen Te­le­kom­mu­ni­ka­ti­ons­dienst­leis­ter, auf­grund ei­nes Ver­stoßes ge­gen die DS­GVO ein Bußgeld von 9,55 Mio. € verhängt. An­lass für das Bußgeld­ver­fah­ren war eine Straf­an­zeige we­gen Nach­stel­lung ("Stal­king") ei­nes Kun­den des Te­le­kom­mu­ni­ka­ti­ons­dienst­leis­ters. Des­sen ehe­ma­lige Le­bens­gefähr­tin hatte über das Call­cen­ter des Te­le­kom­mu­ni­ka­ti­ons­dienst­leis­ters die neue Te­le­fon­num­mer ih­res Ex-Part­ners er­fragt, in­dem sie sich als des­sen Ehe­frau aus­ge­ge­ben hatte. Zur Le­gi­ti­mie­rung mus­ste sie le­dig­lich den Na­men und das Ge­burts­da­tum des Kun­den nen­nen. Die neue Te­le­fon­num­mer hatte sie dann zu belästi­gen­den Kon­takt­auf­nah­men ge­nutzt.

Der BfDI verhängte des­halb im No­vem­ber 2019 ge­gen die Be­trof­fene das oben ge­nannte Bußgeld we­gen grob fahrlässi­gen Ver­stoßes ge­gen Art. 32 Abs. 1 DS­GVO. Zur Begründung führte der BfDI aus, dass die bloße Ab­frage von Name und Ge­burts­da­tum zur Au­then­ti­fi­zie­rung von Te­le­fon­an­ru­fern kei­nen aus­rei­chen­den Schutz für die Da­ten im Call­cen­ter gewähr­leiste.

Auf den Ein­spruch der Be­trof­fe­nen hat das LG das Bußgeld dem Grunde nach bestätigt, al­ler­dings auf 900.000 € her­ab­ge­setzt.

Die Gründe:
In der Sa­che liegt ein Da­ten­schutz­ver­stoß vor, da der Te­le­kom­mu­ni­ka­ti­ons­dienst­leis­ter die Da­ten sei­ner Kun­den im Rah­men der Kom­mu­ni­ka­tion über die sog. Call­cen­ter nicht durch ein hin­rei­chend si­che­res Au­then­ti­fi­zie­rungs­ver­fah­ren ge­schützt hatte. In­fol­ge­des­sen konn­ten nicht be­rech­tigte An­ru­fer durch ge­schick­tes Nach­fra­gen und un­ter Vor­gabe ei­ner Be­rech­ti­gung - nur mit­hilfe des vollständi­gen Na­mens und des Ge­burts­da­tums - an wei­tere Kun­den­da­ten, wie z.B. die ak­tu­elle Te­le­fon­num­mer, ge­lan­gen. Sen­si­ble Da­ten wie Ein­zel­ver­bin­dungs­nach­weise, Ver­kehrs­da­ten oder Kon­to­ver­bin­dun­gen konn­ten auf die­sem Wege in­des nicht ab­ge­fragt wer­den.

Die Be­trof­fene hatte sich hin­sicht­lich der An­ge­mes­sen­heit des Schutz­ni­veaus in einem Rechts­irr­tum be­fun­den. Man­gels ver­bind­li­cher Vor­ga­ben an den Au­then­ti­fi­zie­rungs­pro­zess in Call­cen­tern war die­ser Rechts­irr­tum zwar verständ­lich, aber den­noch ver­meid­bar.

Al­ler­dings mus­ste das Bußgeld der Höhe nach her­ab­ge­setzt wer­den, und zwar auf 900.000 €. Das Ver­schul­den des Te­le­kom­mu­ni­ka­ti­ons­dienst­leis­ters war nämlich als ge­ring an­zu­se­hen. Im Hin­blick auf die über Jahre geübte Au­then­ti­fi­zie­rungs­pra­xis, die bis zu dem Bußgeld­be­scheid nicht be­an­stan­det wor­den war, hat es dort an dem not­wen­di­gen Pro­blem­be­wusst­sein ge­fehlt. Zu­dem war zu berück­sich­tig­ten, dass es sich - auch nach der An­sicht des BfDI - nur um einen ge­rin­gen Da­ten­schutz­ver­stoß han­delte. Die­ser hat ge­rade nicht zur mas­sen­haf­ten Her­aus­gabe von Da­ten an Nicht­be­rech­tigte geführt.

Die Verhängung ei­nes Bußgel­des ge­gen ein Un­ter­neh­men hängt auch nicht da­von ab, dass der kon­krete Ver­stoß ei­ner Lei­tungs­per­son des Un­ter­neh­mens fest­ge­stellt wird. Denn das nach Auf­fas­sung der Kam­mer an­wend­bare eu­ropäische Recht stellt an­ders als das deut­sche Ord­nungs­wid­rig­kei­ten­recht kein ent­spre­chen­des Er­for­der­nis auf.