Urteil stellt Bußgeldbemessung bei DS-GVO-Verstößen auf den Prüfstand

Das Landgericht Bonn hat dem Berechnungsmodell der Aufsichtsbehörden für Bußgelder bei Datenschutzverstößen eine klare Absage erteilt. Die Geldbuße, die gegen einen Telekommunikationsdienstleister verhängt worden war, setzte das Gericht von 9,55 Mio. Euro auf lediglich 900.000 Euro herab (Urteil vom 11. November 2020, Az. 29 OWi 1/20). Eine Reduzierung um satte 90 Prozent. Und ein deutliches Zeichen für die weitere Bußgeldpraxis bei Verstößen gegen die Datenschutzgrundverordnung (DS-GVO).

Die Entscheidung

Das Bußgeldverfahren beruhte auf einer Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Der ehemaligen Lebensgefährtin des Betroffenen war es gelungen über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners zu erlangen, indem sie sich als dessen Ehefrau ausgegeben hatte. Sie musste zur Legitimierung lediglich den Namen und das Geburtsdatum des Kunden nennen.

Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) sah hierin einen Verstoß gegen Artikel 32 DS-GVO. Das Unternehmen habe kein hinreichend sicheres Authentifizierungsverfahren vorgehalten und hierdurch kein ausreichendes Schutzniveau gewährleistet. Die Behörde verschickte daher einen Bußgeldbescheid über satte 9,55 Mio. Euro.

Gegen diesen Bescheid legte der Telekommunikationsdienstleister Einspruch ein und bekam vor dem LG Bonn Recht. Die Richter hielten die Geldbuße für unangemessen hoch und begründeten dies damit, dass einzelne Zumessungskriterien nicht ausreichend berücksichtigt worden seien. Das Bußgeld sei deshalb zwar dem Grunde, nicht aber der Höhe nach berechtigt. Die Kammer setzte das Bußgeld auf 900.000 Euro herab.

Sanktionen: „Wirksam, verhältnismäßig und abschreckend“

Seit Geltung der DS-GVO sind Geldbußen bei datenschutzrechtlichen Verstößen in den Fokus sowohl der Ermittlungsbehörden wie auch der Öffentlichkeit gerückt (vgl. Blog-Beitrag vom 24. September 2019). Ein Grund hierfür ist insbesondere die Höhe der Geldbußen, die nach Art. 83 DS-GVO verhängt werden können. Jede Aufsichtsbehörde muss nach dieser Norm sicher stellen, dass die Geldbußen für Verstöße gegen diese DS-GVO gemäß Art. 83 Abs. 4, 5 und 6 „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist“.

Wie hoch die Geldbußen im Einzelfall tatsächlich ausfallen, liegt im Ermessen der Aufsichtsbehörden. Beachten müssen sie bei der Bußgeldbemessung die in Art. 83 Abs. 2 DS-GVO – nicht abschließend geregelten – Zumessungskriterien. Der Bußgeldrahmen ist beachtlich: Bis zu 20.000.000 Euro oder im Falle eines Unternehmens bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres sind möglich.

Berechnungsmodell auf dem Prüfstand

Um eine möglichst einheitliche, transparente und nachvollziehbare Bußgeldbemessung gewährleisten zu können, haben die Datenschutzbehörden im Oktober 2019 ein Konzept zur Bußgeldbemessung vorgestellt (vgl. Blog-Beitrag vom 23. Oktober 2019). Dieses Modell steht nunmehr auf dem Prüfstand. Denn das LG Bonn hat – jedenfalls in dem von ihm zu entscheidenden Fall – der Berechnung nach diesem Konzept eine klare Absage erteilt. Das Gericht hat klargestellt, dass bei Anwendung des Berechnungsmodells der Aufsichtsbehörden nicht immer die notwendige Verhältnismäßigkeit gegeben ist. Die Tatsache, dass das Gericht die Geldbuße um 90 Prozent herabsetzt hat, ist ein klares Zeichen. Es ist zu erwarten, dass das Berechnungsmodell überarbeitet und angepasst wird.

Daneben hat sich das Gericht auch hinsichtlich einem weiteren für die Praxis zentralen Problem geäußert, nämlich der Verhängung von Bußgeldern nach dem Ordnungswidrigkeitengesetz im Zusammenhang mit Datenschutzverstößen. Die Bebußung von Unternehmen in Deutschland ist in den §§ 30, 130 OWiG geregelt. Ob diese Regelungen im Rahmen von Art. 83 DS-GVO entsprechend anwendbar sind, ist umstritten. Teilweise wird die Auffassung vertreten, dass die Vorschriften sinngemäß anwendbar seien und dementsprechend eine sogenannte Anknüpfungstat einer Leitungsperson vorliegen müsse. Die Gegenmeinung ist hingegen der Ansicht, dass es sich bei der Sanktionierung nach Art. 83 DS-GVO um eine Sanktionierung „sui generis“ handele. Mit Art. 83 DS-GVO sei eine Möglichkeit zur unmittelbaren Sanktionierung auf Unternehmensebene geschaffen worden.

Das LG Bonn hat sich letzterer Meinung angeschlossen und die Ansicht vertreten, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde.

Fazit

Mit seinem Urteil hat das LG Bonn erfreulicherweise der rein schematischen Anwendung des Berechnungsmodells für Bußgelder nach der DS-GVO eine Absage erteilt. Ob andere Gerichte dieser Ansicht folgen werden und ob bzw. in welcher Form das Berechnungsmodell geändert werden wird, bleibt abzuwarten. Auch die reduzierte Geldbuße von 900.000 Euro ist beträchtlich und macht noch einmal deutlich, dass datenschutzrechtliche Anforderungen dringend ernst zu nehmen sind – Den Datenschutz zu vernachlässigen, kann sich kein Unternehmen mehr leisten.

Nachvollziehbar ist auch, dass das LG Bonn eine unmittelbare Haftung des Unternehmens zulässt für Verstöße von Mitarbeitern, ohne dass es einer konkreten Anknüpfungstat bedarf. Gleichzeitig besteht hierdurch ein Widerspruch zum deutschen Zurechnungsmodell, der bislang noch nicht gelöst ist. Unternehmen werden sich mit Blick auf das Bonner Urteil aber darauf einrichten müssen, dass es zukünftig für eine Bebußung nicht erforderlich ist, dass eine Anknüpfungstat einer Leitungsperson vorliegt.