https://www.faz.net/-gqe-a5eqg

„Unangemessen hoch“ : Richter ziehen DSGVO den Zahn

1&1-Zentrale in Montabaur Bild: Frank Röth

Weil ein Call­cen­ter-Mitar­bei­ter verse­hent­lich persön­li­che Daten eines Kunden an dessen Ex-Freun­din preis­ge­ge­ben hat, verhängte der Datenschutzbeauftragte ein Millionen-Bußgeld – das Richter nun als „unangemessen hoch“ einstufen.

          2 Min.

          Erst­mals hat ein deut­sches Gericht ein Millio­nen-Bußgeld des Bundes­be­auf­trag­ten für Daten­schutz Ulrich Kelber dras­tisch redu­ziert. Konkret ging es um einen Bußgeldbescheid über 9,6 Millio­nen Euro, den der Daten­schüt­zer gegen das Tele­kommu­ni­ka­ti­ons­un­ter­neh­men 1&1 verhängt hatte, nach­dem ein Call­cen­ter-Mitar­bei­ter verse­hent­lich persön­li­che Daten eines Kunden an dessen Ex-Freun­din preis­ge­ge­ben hatte.

          Corinna Budras

          Wirtschaftskorrespondentin in Berlin.

          Dabei stell­ten die Rich­ter den Verstoß gegen den Daten­schutz gar nicht in Frage. Sie fanden jedoch, die Millionen-Strafe „unan­ge­mes­sen hoch“. Das Verschul­den des Telekom­mu­ni­ka­ti­ons­dienst­leis­ters sei gering, argu­men­tier­ten die Rich­ter, deshalb drück­ten sie das Bußgeld auf 900.000 Euro. Der Bundes­da­ten­schutz­be­auf­trag­te sieht sich dennoch bestä­tigt; in den wesent­li­chen Punk­ten sei das Gericht seiner Einschät­zung gefolgt: „Kein Unter­neh­men kann es sich mehr leis­ten den Daten­schutz zu vernach­läs­si­gen“, beton­te Kelber.

          Das Urteil könnte ein Hinweis darauf sein, dass Rich­ter Daten­schutz­ver­stö­ße nicht ganz so gravie­rend einschät­zen wie die zustän­di­gen Daten­schüt­zer, sagte der Frankfur­ter Anwalt Tim Wybitul von der Wirt­schafts­kanz­lei Latham & Watkins. Diese bemes­sen das Bußgeld seit Einfüh­rung der euro­päi­schen Daten­schutz-Grund­verordnung im Jahr 2018 nach dem Umsatz eines Unter­neh­mens. Für größe­re Unterneh­men fällt die Strafe deshalb nun wesent­lich höher aus und über­schrei­tet immer häufi­ger auch die Millio­nen­gren­ze, selbst wenn der Vorfall kein syste­mi­sches Versa­gen offen­bart.

          Schon  jahre­lang so prak­ti­ziert

          Nach Ansicht des Daten­schutz­an­walts Wybitul ist es wesent­lich sinn­vol­ler, wenn sich die Rich­ter wie im Bonner Verfah­ren den Einzel­fall anschau­en und nicht den Unterneh­mens­um­satz als Maßstab nehmen. Aller­dings findet er das Bußgeld in seiner gestutz­ten Form noch immer zu hoch, schlie­ß­lich sei es um einen abso­lu­ten Einzel­fall gegan­gen. Anlass für das Bußgeld­ver­fah­ren war ein unge­wöhn­li­cher Fall, der eine reich­lich unbe­darf­te Hand­ha­bung des Unter­neh­mens mit Kunden­in­for­ma­tio­nen offen­bar­te: Eine Frau hatte den Tele­fon­dienst­leis­ter ange­ru­fen, um die neue Tele­fon­num­mer ihres Ex-Freun­des heraus­zu­be­kom­men.

          Dazu gab sie sich fälsch­li­cher­wei­se als dessen Ehefrau aus. Zur Legi­ti­mie­rung musste sie ledig­lich den Namen und das Geburts­da­tum des Kunden nennen. Auf diesem Wege hat das Unter­neh­men über Jahre hinweg die Authen­ti­zi­tät der Kunden sicher­ge­stellt. Nach­dem sie die Nummer problem­los erhal­ten hatte, beläs­tig­te sie den Mann mit uner­wünsch­ten Tele­fon­an­ru­fen. Er stell­te darauf­hin eine Straf­an­zei­ge wegen Stal­kings.

          In diesem Fall wurde auch der Bundes­be­auf­trag­te für Daten­schutz einge­schal­tet, der das Millio­nen-Bußgeld verhäng­te. Die Authen­ti­fi­zie­rungs­pra­xis des Unter­neh­mens gewähr­leis­te keinen ausrei­chen­den Schutz, argu­men­tier­te die Behör­de in ihrem Bescheid. Das woll­ten die Rich­ter so aber nicht akzep­tie­ren. Sie stell­ten in ihrer Entschei­dung zwar klar, dass schon der Fehler eines Mitar­bei­ters zu einem Daten­schutz­ver­stoß führen könne. Anders als im deut­schen Ordnungs­wid­rig­kei­ten­recht sei es bei den zugrun­de­lie­gen­den euro­päi­schen Regeln nicht notwen­dig, dass eine Führungs­per­son den Fehler began­gen habe.

          Aller­dings hande­le es sich hier­bei nur um einen „gerin­gen Daten­schutz­ver­stoß“, der nicht zu einer massen­haf­ten Heraus­ga­be von Daten an Nicht­be­rech­tig­te führte, fanden die Rich­ter. Sie berück­sich­tig­ten in ihrer Entschei­dung zudem, dass diese Art der Authen­ti­fi­zie­rung in dem Unter­neh­men jahre­lang so prak­ti­ziert worden sei, ohne dass es Bean­stan­dun­gen der Kunden gege­ben habe.

          Weitere Themen

          Topmeldungen

          Der Hauptangeklagte im Prozess um den Mord am Kasseler Regierungspräsidenten Lübcke, Stephan Ernst (rechts), mit seinem Anwalt  am Tag der Urteilsverkündung

          Urteil im Lübcke-Prozess : Es war mehr als Mord

          Das Urteil im Lübcke-Prozess ist angemessen. Über die Sühne für die Tat hinaus sind jedoch weitere Konsequenzen nötig. Nichts lässt sich ungeschehen machen, aber Läuterung ist möglich.
          In der Schusslinie: Kölner Erzbischof Woelki könnte in einem Missbrauchsfall besser im Bilde gewesen sein, als er zugibt (Archivbild).

          Missbrauch in der Kirche : Verantwortliche ohne Namen

          Hat der Kölner Erzbischof Rainer Maria Kardinal Woelki 2015 einen Missbrauchsfall vertuscht? Der Verdacht wurde nach Rom gemeldet. Doch der Vatikan ließ die selbstgesetzte Antwortfrist verstreichen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.