de en
Nexia Ebner Stolz

Rechtsberatung

Verstoß gegen DSGVO - Bußgeld gegen Telekommunikationsdienstleister

LG Bonn v. 11.11.2020 - PM 27/2020

Die Verhängung eines Bußgeldes gegen ein Unternehmen hängt nicht davon ab, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt wird. Denn das nach Auffassung der Kammer anwendbare europäische Recht stellt anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.

Der Sach­ver­halt:
Der Bun­des­be­auf­tragte für den Daten­schutz und Infor­ma­ti­ons­f­rei­heit (BfDI) hat gegen die Betrof­fene, einen Tele­kom­mu­ni­ka­ti­ons­di­enst­leis­ter, auf­grund eines Ver­sto­ßes gegen die DSGVO ein Buß­geld von 9,55 Mio. € ver­hängt. Anlass für das Buß­geld­ver­fah­ren war eine Straf­an­zeige wegen Nach­stel­lung ("Stal­king") eines Kun­den des Tele­kom­mu­ni­ka­ti­ons­di­enst­leis­ters. Des­sen ehe­ma­lige Lebens­ge­fähr­tin hatte über das Call­cen­ter des Tele­kom­mu­ni­ka­ti­ons­di­enst­leis­ters die neue Tele­fon­num­mer ihres Ex-Part­ners erfragt, indem sie sich als des­sen Ehe­frau aus­ge­ge­ben hatte. Zur Legiti­mie­rung musste sie ledig­lich den Namen und das Geburts­da­tum des Kun­den nen­nen. Die neue Tele­fon­num­mer hatte sie dann zu beläs­t­i­gen­den Kon­takt­auf­nah­men genutzt.

Der BfDI ver­hängte des­halb im Novem­ber 2019 gegen die Betrof­fene das oben genannte Buß­geld wegen grob fahr­läs­si­gen Ver­sto­ßes gegen Art. 32 Abs. 1 DSGVO. Zur Begrün­dung führte der BfDI aus, dass die bloße Abfrage von Name und Geburts­da­tum zur Authen­ti­fi­zie­rung von Tele­fon­an­ru­fern kei­nen aus­rei­chen­den Schutz für die Daten im Call­cen­ter gewähr­leiste.

Auf den Ein­spruch der Betrof­fe­nen hat das LG das Buß­geld dem Grunde nach bestä­tigt, aller­dings auf 900.000 € her­ab­ge­setzt.

Die Gründe:
In der Sache liegt ein Daten­schutz­ver­stoß vor, da der Tele­kom­mu­ni­ka­ti­ons­di­enst­leis­ter die Daten sei­ner Kun­den im Rah­men der Kom­mu­ni­ka­tion über die sog. Call­cen­ter nicht durch ein hin­rei­chend siche­res Authen­ti­fi­zie­rungs­ver­fah­ren geschützt hatte. Infol­ge­des­sen konn­ten nicht berech­tigte Anru­fer durch geschick­tes Nach­fra­gen und unter Vor­gabe einer Berech­ti­gung - nur mit­hilfe des voll­stän­di­gen Namens und des Geburts­da­tums - an wei­tere Kun­den­da­ten, wie z.B. die aktu­elle Tele­fon­num­mer, gelan­gen. Sen­si­ble Daten wie Ein­zel­ver­bin­dungs­nach­weise, Ver­kehrs­da­ten oder Kon­to­ver­bin­dun­gen konn­ten auf die­sem Wege indes nicht abge­fragt wer­den.

Die Betrof­fene hatte sich hin­sicht­lich der Ange­mes­sen­heit des Schutz­ni­ve­aus in einem Recht­s­irr­tum befun­den. Man­gels ver­bind­li­cher Vor­ga­ben an den Authen­ti­fi­zie­rung­s­pro­zess in Call­cen­tern war die­ser Recht­s­irr­tum zwar ver­ständ­lich, aber den­noch ver­meid­bar.

Aller­dings musste das Buß­geld der Höhe nach her­ab­ge­setzt wer­den, und zwar auf 900.000 €. Das Ver­schul­den des Tele­kom­mu­ni­ka­ti­ons­di­enst­leis­ters war näm­lich als gering anzu­se­hen. Im Hin­blick auf die über Jahre geübte Authen­ti­fi­zie­rungs­pra­xis, die bis zu dem Buß­geld­be­scheid nicht bean­stan­det wor­den war, hat es dort an dem not­wen­di­gen Pro­b­lem­be­wusst­sein gefehlt. Zudem war zu berück­sich­tig­ten, dass es sich - auch nach der Ansicht des BfDI - nur um einen gerin­gen Daten­schutz­ver­stoß han­delte. Die­ser hat gerade nicht zur mas­sen­haf­ten Her­aus­gabe von Daten an Nicht­be­rech­tigte geführt.

Die Ver­hän­gung eines Buß­gel­des gegen ein Unter­neh­men hängt auch nicht davon ab, dass der kon­k­rete Ver­stoß einer Lei­tungs­per­son des Unter­neh­mens fest­ge­s­tellt wird. Denn das nach Auf­fas­sung der Kam­mer anwend­bare euro­päi­sche Recht stellt anders als das deut­sche Ord­nungs­wid­rig­kei­ten­recht kein ent­sp­re­chen­des Erfor­der­nis auf.

nach oben