https://www.faz.net/-gqe-a5eqg

„Unangemessen hoch“ : Richter ziehen DSGVO den Zahn

1&1-Zentrale in Montabaur Bild: Frank Röth

Weil ein Call­cen­ter-Mitar­bei­ter verse­hent­lich persön­li­che Daten eines Kunden an dessen Ex-Freun­din preis­ge­ge­ben hat, verhängte der Datenschutzbeauftragte ein Millionen-Bußgeld – das Richter nun als „unangemessen hoch“ einstufen.

          2 Min.

          Erst­mals hat ein deut­sches Gericht ein Millio­nen-Bußgeld des Bundes­be­auf­trag­ten für Daten­schutz Ulrich Kelber dras­tisch redu­ziert. Konkret ging es um einen Bußgeldbescheid über 9,6 Millio­nen Euro, den der Daten­schüt­zer gegen das Tele­kommu­ni­ka­ti­ons­un­ter­neh­men 1&1 verhängt hatte, nach­dem ein Call­cen­ter-Mitar­bei­ter verse­hent­lich persön­li­che Daten eines Kunden an dessen Ex-Freun­din preis­ge­ge­ben hatte.

          Corinna Budras

          Wirtschaftskorrespondentin in Berlin.

          Dabei stell­ten die Rich­ter den Verstoß gegen den Daten­schutz gar nicht in Frage. Sie fanden jedoch, die Millionen-Strafe „unan­ge­mes­sen hoch“. Das Verschul­den des Telekom­mu­ni­ka­ti­ons­dienst­leis­ters sei gering, argu­men­tier­ten die Rich­ter, deshalb drück­ten sie das Bußgeld auf 900.000 Euro. Der Bundes­da­ten­schutz­be­auf­trag­te sieht sich dennoch bestä­tigt; in den wesent­li­chen Punk­ten sei das Gericht seiner Einschät­zung gefolgt: „Kein Unter­neh­men kann es sich mehr leis­ten den Daten­schutz zu vernach­läs­si­gen“, beton­te Kelber.

          Das Urteil könnte ein Hinweis darauf sein, dass Rich­ter Daten­schutz­ver­stö­ße nicht ganz so gravie­rend einschät­zen wie die zustän­di­gen Daten­schüt­zer, sagte der Frankfur­ter Anwalt Tim Wybitul von der Wirt­schafts­kanz­lei Latham & Watkins. Diese bemes­sen das Bußgeld seit Einfüh­rung der euro­päi­schen Daten­schutz-Grund­verordnung im Jahr 2018 nach dem Umsatz eines Unter­neh­mens. Für größe­re Unterneh­men fällt die Strafe deshalb nun wesent­lich höher aus und über­schrei­tet immer häufi­ger auch die Millio­nen­gren­ze, selbst wenn der Vorfall kein syste­mi­sches Versa­gen offen­bart.

          Schon  jahre­lang so prak­ti­ziert

          Nach Ansicht des Daten­schutz­an­walts Wybitul ist es wesent­lich sinn­vol­ler, wenn sich die Rich­ter wie im Bonner Verfah­ren den Einzel­fall anschau­en und nicht den Unterneh­mens­um­satz als Maßstab nehmen. Aller­dings findet er das Bußgeld in seiner gestutz­ten Form noch immer zu hoch, schlie­ß­lich sei es um einen abso­lu­ten Einzel­fall gegan­gen. Anlass für das Bußgeld­ver­fah­ren war ein unge­wöhn­li­cher Fall, der eine reich­lich unbe­darf­te Hand­ha­bung des Unter­neh­mens mit Kunden­in­for­ma­tio­nen offen­bar­te: Eine Frau hatte den Tele­fon­dienst­leis­ter ange­ru­fen, um die neue Tele­fon­num­mer ihres Ex-Freun­des heraus­zu­be­kom­men.

          Dazu gab sie sich fälsch­li­cher­wei­se als dessen Ehefrau aus. Zur Legi­ti­mie­rung musste sie ledig­lich den Namen und das Geburts­da­tum des Kunden nennen. Auf diesem Wege hat das Unter­neh­men über Jahre hinweg die Authen­ti­zi­tät der Kunden sicher­ge­stellt. Nach­dem sie die Nummer problem­los erhal­ten hatte, beläs­tig­te sie den Mann mit uner­wünsch­ten Tele­fon­an­ru­fen. Er stell­te darauf­hin eine Straf­an­zei­ge wegen Stal­kings.

          In diesem Fall wurde auch der Bundes­be­auf­trag­te für Daten­schutz einge­schal­tet, der das Millio­nen-Bußgeld verhäng­te. Die Authen­ti­fi­zie­rungs­pra­xis des Unter­neh­mens gewähr­leis­te keinen ausrei­chen­den Schutz, argu­men­tier­te die Behör­de in ihrem Bescheid. Das woll­ten die Rich­ter so aber nicht akzep­tie­ren. Sie stell­ten in ihrer Entschei­dung zwar klar, dass schon der Fehler eines Mitar­bei­ters zu einem Daten­schutz­ver­stoß führen könne. Anders als im deut­schen Ordnungs­wid­rig­kei­ten­recht sei es bei den zugrun­de­lie­gen­den euro­päi­schen Regeln nicht notwen­dig, dass eine Führungs­per­son den Fehler began­gen habe.

          Aller­dings hande­le es sich hier­bei nur um einen „gerin­gen Daten­schutz­ver­stoß“, der nicht zu einer massen­haf­ten Heraus­ga­be von Daten an Nicht­be­rech­tig­te führte, fanden die Rich­ter. Sie berück­sich­tig­ten in ihrer Entschei­dung zudem, dass diese Art der Authen­ti­fi­zie­rung in dem Unter­neh­men jahre­lang so prak­ti­ziert worden sei, ohne dass es Bean­stan­dun­gen der Kunden gege­ben habe.

          Weitere Themen

          Topmeldungen

          Probe für den Ernstfall: Der baden-württembergische Sozialminister Manne Lucha (Grüne) lässt sich im Beisein von Ministerpräsident Winfried Kretschmann (Grüne) und Landesinnenminister Thomas Strobl (CDU) den Ablauf einer Impfung für die geplanten Impfzentren demonstrieren.

          Impfzentren in Bundesländern : Wie impft man Millionen?

          Sobald das erste Vakzin zugelassen ist, kann es eigentlich losgehen. Die Länder sollen in wenigen Wochen in der Lage sein, Massenimpfungen zu verabreichen. Doch vielfach ist noch gar nicht klar, wo genau die Zentren stehen sollen.

          Corona-Plan der Länder : Jedem sein Weihnachten?

          Das Virus kennt keine Feiertage. Trotzdem wollen die Ministerpräsidenten schon jetzt größere Feiern von Heiligabend bis Neujahr ermöglichen. Diese „Rettung“ könnte sich rächen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.