Seit etwas über einem Jahr verfolgen wir genau, welche Verteidigungsstrategien sich für Unternehmen bei drohenden Bußgeldern wegen Datenschutzverstößen lohnen werden. Dabei wurde schnell klar: Von den Datenschutzbehörden überzogen hoch festgesetzte Bußgelder dürften jedenfalls vor Gericht gut angreifbar und „nach unten“ korrigierbar sein. Das steht zwar in krassem Gegensatz zum Konzept der Datenschutzaufsichtsbehörden zur Bußgeldzumessung in Verfahren gegen Unternehmen (veröffentlicht im Oktober 2019), kennt dieses Konzept ja nur den Weg „nach oben“. Jedoch hat nun erstmals ein Gericht eine Millionengeldbuße wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) kassiert: Das Landgericht Bonn hat mit seiner Entscheidung vom 11. November 2020 eine vormals durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) in Höhe von 9,55 Mio. Euro festgesetzte Geldbuße auf einen Betrag von 900.000 Euro reduziert.
Dem Unternehmen, einem Telekommunikationsanbieter, wurde vom BfDI vorgeworfen, dass es „keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen [hatte], um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können“ (Pressemitteilung des BfDI vom 09.12.2019)
So sei es möglich gewesen, „dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten“, worin der BfDI „einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen“, erblickt hat (Pressemitteilung des BfDI vom 09.12.2019).
Obwohl das Unternehmen sich „einsichtig und äußerst kooperativ“ gezeigt habe und die Prozesse nachgebessert worden seien, hat der BfDI gegen das Unternehmen eine Geldbuße verhängt, da „der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt“ gewesen sei, „sondern […] ein Risiko für den gesamten Kundenbestand dar[gestellt]“ habe (Pressemitteilung des BfDI vom 09.12.2019).
Mit dem „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“ haben die Datenschutzaufsichtsbehörden im Oktober 2019 ein fünfstufiges Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen vorgelegt (wir berichteten).
Grundlage der Bußgeldzumessung war danach der Umsatz des betroffenen Unternehmens. Über vier Berechnungsstufen kennt das Konzept unter Nutzung verschiedener Einstufungen und Multiplikatoren nur den Weg nach oben. Selbst die vierte Stufe, auf welcher die Schwere der Tat zu berücksichtigen ist, sieht keine Möglichkeit der Herabsetzung des bis dahin ermittelten Bußgeldbetrags (im Bußgeldkonzept Grundwert genannt) vor. Eine Herabsetzung des nach dem Zumessungskonzept zu verhängenden Bußgeldbetrags wird erstmals auf der fünften und letzten Berechnungsstufe ermöglicht. Dabei bleibt jedoch offen, in welchem Umfang eine solche Herabsetzung möglich und in welchen Fällen sie – ggf. auch in erheblicher Weise – angezeigt ist.
Die Berechnung einer Geldbuße nach dem Konzept führt deshalb zwangsläufig zu hohen Bußgeldern, die sich vor allem bei Unternehmen mit hohen Umsätzen schnell im Millionenbereich bewegen. Dass der tatsächliche Unternehmensgewinn oftmals weit hinter den Umsätzen zurückbleibt, berücksichtigt das Konzept hingegen nicht. Es wird zur Anpassung auf der fünften Stufe lediglich lapidar ausgeführt, dass eine „drohende Zahlungsunfähigkeit des Unternehmens“ zu berücksichtigen sei (siehe Bußgeldkonzept, S. 8).
Die Verhängung einer Geldbuße in Höhe von 9,55 Mio. Euro im vorliegenden Fall durch den BfDI verwundert angesichts der formalen Bußgeldberechnung nach dem Bußgeldkonzept nicht.
Das Landgericht Bonn sieht im vorliegenden Fall zwar auch einen Verstoß des Telekommunikationsunternehmens gegen Art. 32 Abs. 1 DSGVO, hält aber das vom BfDI verhängte Bußgeld in Höhe von 9,55 Mio. Euro für „unangemessen hoch“ und hat es deshalb mit seinem Urteil auf 900.000 Euro herabgesetzt (Pressemitteilung des LG Bonn vom 11.11.2020).
Dabei stellt es wesentlich auf das Verschulden des Unternehmens ab, das gering sei. Zudem habe es sich nur um einen geringen Datenschutzverstoß gehandelt, der „nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte [habe] führen können“ (Pressemitteilung des LG Bonn vom 11.11.2020). Zur berücksichtigen sei auch, dass die von dem Telekommunikationsanbieter ausgeübte Authentifizierungspraxis über Jahre bestanden habe und bis zu dem Bußgeldbescheid nicht beanstandet worden sei (Pressemitteilung des LG Bonn vom 11.11.2020).
Einer rein am Unternehmensumsatz orientierten Bußgeldzumessung hat das Gericht damit eine Absage erteilt.
Hinsichtlich des Täters des Bußgeldverstoßes hat das Landgericht Bonn zudem festgestellt, dass die Verhängung einer Geldbuße gegen das Unternehmen die Feststellung eines „konkret[en] Verstoß[es] einer Leitungsperson des Unternehmens“ nicht bedürfe (Pressemitteilung des LG Bonn vom 11.11.2020). Insoweit liegt eine Abweichung des europäischen Datenschutzrechts zum deutschen Recht, insb. der Verbandsgeldbuße nach § 30 des Ordnungswidrigkeitengesetzes (OWiG) vor, die grundsätzlich das Vorliegen einer Anknüpfungstat einer dort näher bezeichneten Leitungsperson verlangt.
Ob das Bußgeldkonzept der Datenschutzaufsichtsbehörden durch das Landgericht Bonn in Gänze verworfen wurde oder auf der fünften Stufe der Zumessung nach dem Konzept im Einzelfall erhebliche Anpassungen nach unten vorzunehmen sind, ergibt sich aus der bisher veröffentlichen Pressemitteilung des Gerichts nicht. Auf die schriftlichen Urteilsgründe warten wir daher gespannt.
Deutlich ist aber schon jetzt, dass eine rein am Unternehmensumsatz orientierte Bußgeldzumessung – ohne deutliche Möglichkeit der Herabsetzung – nach Auffassung des Landgerichts Bonn nicht dem Schuldgrundsatz genügt. Allzu schematisch gewählte und damit für Datenschutzbehörden „einfache“ Wege der Sanktionierung werden also mit guten Chancen angreifbar sein. Eine sorgfältig vorbereitete und entschiedene Verteidigung gegen das Vorgehen der Behörden ist also sinnvoll. Eine aktive Verteidigung im Bußgeldverfahren wird Erfolg haben. Auch die Behörden werden sich einer intensiven Erörterung der Sach- und Rechtslage mit versierten Verteidigern nicht verschließen können, wollen sie eine spätere gerichtliche Korrektur der erlassenen Bescheide vermeiden.
Wichtig: Auch ohne eine rein am Umsatz orientierte Bußgeldzumessung können Datenschutzverstöße für Unternehmen teuer werden, wenn nicht (viele) Milderungsgründe vorliegen. Insoweit können etwa wirksame Compliance-Maßnahmen und eine zügige Reaktion bei festgestellten Verstößen zu einer erheblichen Bußgeldminderung führen. Investitionen in den Datenschutz werden sich deshalb auch nach dem Urteil des Landgerichts Bonn weiterhin auszahlen. Sie sind ein essentielles Verteidigungswerkzeug.
Hinweis: Nähere Informationen zu dem Bußgeldkonzept der Datenschutzaufsichtsbehörden finden sich in dem Beitrag von Handel, „Das Konzept der Datenschutzaufsichtsbehörden zur Bußgeldzumessung in Verfahren gegen Unternehmen“, in Kommunikation & Recht (K&R), Heft 12/2019, S. 757 ff.