Die Landesdatenschutzbeauftragten und Datenschutzbehörden anderer Länder sind mittlerweile übergegangen durchaus beachtliche Bußgelder zu verhängen. Aber ist so ein DSGVO Bußgeld wie es die Behörden verhängen auch immer angemessen? Das Landgericht Bonn meint nein.
Das Verstöße gegen die DSGVO mittlerweile zu hohen Bußgeldern führen kann, dürfte sich mittlerweile herumgesprochen haben. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte im Oktober 2019 ein Konzept zur Bußgeldzumessung entwickelt.
Dieses Bußgeldkonzept zog der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in einem Fall gegen die 1&1 Telekom GmbH heran. Das Authentifizierungsverfahren für telefonische Auskünfte soll nicht dem Stand der Technik entsprochen und damit gegen datenschutzrechtliche Bestimmungen verstoßen haben. Das Bußgeld setzte der BfDI unter Zugrundelegung des Konezptes der DSK auf EUR 9,55 Millionen fest.
Die 1&1 Telekom GmbH wehrte sich gerichtlich gegen dieses Bußgeld.
Entscheidung des LG Bonn zu DSGVO Bußgeld
Mit Urteil vom 11.11.2020 – Az. 29 OWi 1/20 LG bestätigte das Landgericht zwar grundsätzlich das Bußgeld, setzte es aber auf EUR 900.000,- herab.
Im Verfahren war die Frage aufgeworfen worden, ob überhaupt ein Bußgeld gegen ein Unternehmen bei entsprechenden Verstößen gegen die DSGVO möglich ist. Hintergrund ist, dass das deutsche Ordnungswidrigkeitenrecht für eine Bußgeld erfordert, dass eine im Unternehmen leitend verantwortliche Person den Verstoß begangen hat. Für Verstöße nach der DSGVO sei dies nicht erforderlich, so die Bonner Richter, da die DSGVO hierzu keine vergleichbare Regelung enthalte.
Auch wenn das Gericht somit den Verstoß und die Möglichkeit der Geldbuße grundsätzlich bejaht hat, so war das Verfahren für die 1&1 Telekom GmbH gleichwohl erfolgreich. Denn das Gericht kam zu dem Ergebnis, dass das Bußgeld unangemessen hoch ist und reduzierte das verhängte Bußgeld um über 90%.
Es habe sich nur um einen geringen Verstoß gehandelt, der nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte geführt habe. Das Gericht kritisierte insoweit das Bußgeldkonzept der DSK, da dies Bemessungsaspekte außer Acht lasse. Der BfDI hat angekündigt das Konzept zu überarbeiten.
Fazit
Im Interesse der Unternehmen ist die Entscheidung zu begrüßen. Sie zeigt den Datenschutzbehörden mit ihren teilweisen Vorstellungen von exorbitanten Bußgeldern, selbst bei vergleichsweise geringfügigen Verstößen Grenzen auf. Bislang wurde die Bußgeldpraxis der Behörden seit der Einführung der DSGVO kaum gerichtlich überprüft. Betroffenen Unternehmen kann man daher nur raten gegen unangemessene Bußgeldbescheide zu klagen. Dies würde auch im Hinblick auf die künftige Festsetzungspraxis der Behörden helfen.
Artikel als PDF speichern
