Datenschutzverstoß = 9 Mio. EUR Geldbuße?

Aktuelles

11.02.2021

So einfach geht es dann doch nicht. Aber immerhin urteilte das Landgericht Bonn, dass eine Geldbuße von 900.000 EUR für einen Datenschutzverstoß angemessen sei. Es war die erste aufsehenerregende Entscheidung seit Inkrafttreten der DSGVO am 25. Mai 2018.

LG Bonn, Urteil vom 11. November 2020, Az.: 29 OWi 1/20

Was war passiert?

Ein Kunde eines Telekommunikationsdienstleisters hatte Strafanzeige wegen Nachstellung („Stalking“) gegen seine ehemalige Lebensgefährtin erstattet, der es gelungen war, über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners zu erlangen. Die ehemalige Lebensgefährtin musste zur Legitimierung und Erlangung der Informationen lediglich den Namen und das Geburtsdatum des Kunden nennen. Der BfDI wertete dies als einen Verstoß gegen Art. 32 DSGVO, da das Unternehmen kein hinreichend sicheres Authentifizierungsverfahren vorgehalten und hierdurch kein ausreichendes Schutzniveau für die Kundendaten gewährleistet habe. Gegen das Unternehmen mit einem durchschnittlichen Jahresgewinn von ca. 400 Mio. EUR wurde daraufhin ein Bußgeld in Höhe von 9,55 Mio. (!) EUR verhängt.

Das Landgericht Bonn bestätigte die Entscheidung der Aufsichtsbehörde dem Grunde nach, hielt die verhängte Geldbuße jedoch für unangemessen hoch und setzte sie auf (immerhin noch) 900.000 EUR herab. Das Gericht sah die in Art. 83 Abs. 2 DSGVO geregelten Zumessungskriterien für die Bemessung der Geldbuße für nicht ausreichend berücksichtigt an.

Für die strafrechtliche Praxis ist das Urteil auch mit Blick auf die strafrechtliche Verbandshaftung bemerkenswert. Das LG Bonn hat insoweit entschieden, dass es bei Datenschutzverstößen für die Verhängung einer Geldbuße gegen ein Unternehmen der Feststellung einer konkreten Anknüpfungstat einer natürlichen Person (wie es in §§ 30, 130 OWiG vorgesehen ist) nicht bedarf. Das LG Bonn folgt insoweit der Auffassung, dass das Unternehmen für Datenschutzverstöße unmittelbar hafte. Für die Haftung des Unternehmens sei es demnach ausreichend, den Datenschutzverstoß zu individualisieren.

Eine solche unmittelbare Haftung von Unternehmen kennt das deutsche Strafrecht (bislang) jedoch nicht. Es ist indes damit zu rechnen, dass sich weitere Gerichte dieser Auffassung anschließen werden.

Für die Praxis ist dies ein Weckruf!

Vor dem Hintergrund der drohenden erheblichen Geldbußen und der unmittelbaren Haftung bei Verstößen sollten Unternehmen datenschutzrechtliche Anforderungen dringend ernst nehmen.

Unternehmen, insbesondere aber auch Rechtsanwaltskanzleien, die nicht selten von Dritten (z.B. Pressestellen) zur Informationsgewinnung angerufen werden, sollten das Urteil zum Anlass nehmen, ihre Mitarbeiter für den Schutz personenbezogener Daten zu sensibilisieren und entsprechend zu schulen; dies nicht nur mit Blick auf eine etwaige Verschwiegenheitsverpflichtung, sondern auch mit Blick auf datenschutzrechtliche Sicherheitsanforderungen.