In einem Bußgeldverfahren gegen einen Telekommunikationsdienstleister hat das Landgericht Bonn das vom Bundesbeauftragten für den Datenschutz verhängte Bußgeld von 9,55 Millionen Euro auf 900.000 Euro herabgesetzt. Das gegen das Unternehmen verhängte Bußgeld sei dem Grunde nach berechtigt, aber unangemessen hoch, entschied das Gericht am Mittwoch nach Angaben einer Sprecherin.
Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Stalkings eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter der Firma die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgab. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer nutzte sie dann zu belästigenden Kontaktaufnahmen.
Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) verhängte deshalb im November 2019 gegen die Firma das 9,55-Millionen-Euro-Bußgeld wegen grob fahrlässigen Verstoßes gegen die Datenschutzgrundverordnung. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.
Gegen diesen Bescheid legte der Telekommunikationsdienstleister Einspruch ein. Das Bonner Landgericht entschied nun, die Verhängung eines Bußgelds gegen ein Unternehmen hänge nicht davon ab, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein solches Erfordernis auf.
Im vorliegenden Fall liege ein Datenschutzverstoß vor, weil das Telekommunikationsunternehmen die Daten seiner Kunden im Rahmen der Kommunikation über die sogenannten Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern unter anderem durch ein geschicktes Nachfragen möglich gewesen, nur mit Hilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten – wie zum Beispiel die aktuelle Telefonnummer – zu gelangen.
Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten indes auf diesem Weg nicht abgefragt werden können. Die Reduzierung des Bußgelds auf 900.000 Euro begründete die Kammer damit, dass das Verschulden des Unternehmens gering sei. Angesichts der über Jahre geübten Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es am notwendigen Problembewusstsein gefehlt.
Auch sei zu berücksichtigten, dass es sich auch nach der Ansicht des BfDI nur um einen geringen Datenschutzverstoß handle. Dieser habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.