LG Bonn: 900 Tsd. Euro Bußgeld für 1&1 ausreichend

Das Landgericht Bonn hatte sich aufgrund eines Einspruchs gegen den von 1&1 erhaltenen Bußgeldbescheid mit der Höhe des Bußgelds beschäftigen müssen. Das Telekommunikationsunternehmen 1&1 erhielt einen Bußgeldbescheid über satte 9,55 Mio. Euro. Grund des Bußgeldes war ein Datenschutzverstoß gegen die DSGVO. Genauer gegen den Art. 32 Abs. 1 DSGVO.

Art. 32 DSGVO Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

Anlass für den Datenschutzverstoß und damit auch das festgesetzte Bußgeld war eine Strafanzeige wegen Stalkings eines Kunden von 1&1 (Nachstellung, 238 StGB). Dessen ehemalige Lebensgefährtin hatte die für das Nachstellen benutzte “neue” Telefonnummer über eine einfache Callcenter-Anfrage durch 1&1 erhalten, dabei musste lediglich der Name und das Geburtsdatum des Kunden (Ex-Partners) angegeben werden.

Im November 2019 verhängte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein sehr hohes Bußgeld über 9,55 Mio. Euro. Begründet wurde die Höhe des Bußgeldes mit einem nicht hinreichenden Schutz im Callcenter um eine Auskunft über Kundendaten zu erhalten. Im Ergebnis lag auch nach Ansicht des Landgerichts Bonns ein Datenschutzverstoß vor, da die Kundendaten mangels eines hinreichenden Authentifizierungsverfahrens bei Kontaktaufnahme zum Callcenter nicht geschützt gewesen sind. Aufgrund des Fehlens einer verbindlichen Festlegung für Callcenter bei Authentifizierungsgsmaßnahmen sei ein Rechtsirrtum verständlich, aber auch vermeidbar. Es handele sich zudem um einen “geringen” Verstoß, welcher auch nicht zu massenhaften Auskünften an Nichtberechtigte geführt habe. Aus diesem Grund ging das Gericht von einer Höhe von 900 Tsd. Euro als angemessen aus und setzte das ursprünglich festgelegte Bußgeld des BfDI damit deutlich herab.

Quelle: Pressemitteilung LG Bonn, lg-bonn.nrw.de