DSGVO-Bußgeld gegen einen Telekommunikationsanbieter

Worin bestand der beanstandete DSGVO-Verstoß?

Der Verstoß, den der Bundesdatenschutzbeauftragte bemängelt: Angeblich konnten Anrufer bei der Kundenhotline des Unternehmens Zugriff auf personenbezogene Kundendaten erhalten, nachdem sie sich mittels ihres Namens und Geburtsdatums authentifiziert hatten. Dies sei aber ein Verstoß gegen Art. 32 DSGVO, der zur Einführung „geeigneter“ Datensicherheitsmaßnahmen verpflichtet.

Woraus ergibt sich die Höhe des Bußgelds?

Die Höhe des Bußgelds ergibt sich aus dem kürzlich von den deutschen Datenschutzbehörden verkündeten Bußgeldkonzept. Demnach ist aus dem weltweiten Jahresumsatzes der Unternehmensgruppe ein „Tagessatz“ abzuleiten, der dann die Grundlage für die Bemessung des Bußgeldes darstellt. Die Folge des Konzeptes ist, dass bereits sehr kleine Verstöße zu potenziell sehr hohen Bußgeldern führen können, wenn die betreffenden Unternehmen zu einer sehr großen Unternehmensgruppe gehören. Dies war bei 1&1 der Fall.

Der Bundesdatenschutzbeauftragte ist nach eigenen Angaben „im unteren Bereich des möglichen Bußgeldrahmens“ geblieben. Dies erscheint jedoch – selbst wenn man die Berechnungsmethode des Bußgeldkonzeptes heranzieht – so nicht zu stimmen. Andere Datenschutzbehörden haben für schwerere Verstöße in Deutschland bereits geringere Bußgelder verhängt (auch proportional zur Unternehmensgröße). 

Wird 1&1 nun Rechtsschutz suchen?

1&1 hat angekündigt, gegen das Bußgeld zu klagen. Dabei stützt es sich im Wesentlichen auf zwei Argumente: Zum einen sei die Authentifizierung mittels Namen und Geburtsdatum zur fraglichen Zeit marktüblich gewesen; mittlerweile habe 1&1 das Authentifizierungsverfahren verbessert. Zum zweiten sei auch die Bußgeldhöhe unverhältnismäßig. Das Bußgeldkonzept könne aufgrund seiner Orientierung am Konzern-Jahresumsatz bereits bei kleinsten Abweichungen zu riesigen Geldbußen führen. Dies verstoße gegen den verfassungsrechtlichen Verhältnismäßigkeits- und Gleichbehandlungsgrundsatz.

Was sollten Unternehmen nun beachten?

Es handelt sich um das soweit ersichtlich erste Bußgeld, das der Bundesdatenschutzbeauftragte seit Inkrafttreten der DSGVO verhängt hat. Der Vorgang zeigt: Auch Unternehmen, die der Aufsicht des Bundesdatenschutzbeauftragten unterstehen, müssen sich auf Bußgeldrisiken nun vorbereiten.

Der Bundesdatenschutzbeauftragte beaufsichtigt alle Unternehmen aus dem Telekommunikations- und Postsektor. Hierzu zählen laut einem Beschluss der deutschen Datenschutzbehörden auch Messenger-Apps.

In seiner Pressemitteilung weist der Bundesdatenschutzbeauftragte darauf hin, dass er auch bei weiteren Telekommunikationsunternehmen auf gleichartige Verstöße prüft. Sollten andere TK-Unternehmen also im Kundensupport weiterhin eine Authentifizierung der Kunden nur mit Namen und Geburtsdatum zulassen, sollten sie dies nun zügig ändern.

Einige rechtliche Anmerkungen

Wie auch von 1&1 bereits angedeutet, ist die Entscheidung des Bundesdatenschutzbeauftragten höchst fragwürdig: Zum einen deshalb, weil höchst fraglich ist, ob überhaupt ein bußgeldbewehrter DSGVO-Verstoß vorlag. Denn bei der Verhängung von Bußgeldern gilt der „nulla poena sine lege certa“-Grundsatz (§ 3 OWiG): Ein Unternehmen muss im Vorhinein aus dem Gesetz klar erkennen können, ob eine bestimmte Verhaltensweise rechtswidrig (und damit bußgeldbewehrt) war oder nicht (vgl. auch BVerfG v. 3.11.2016, 2 BvL 1/15 – Rindfleischetikettierungsgesetz). Angesichts des Tatbestands von Art. 32 DSGVO, dessen Rechtsfolgen von vielen „weichen“, auslegungsbedürftigen Rechtsbegriffen abhängen (z.B. „Stand der Technik“, „geeignete Schutzmaßnahmen“, „angemessenes Schutzniveau“, etc.), war dies hier durchaus fraglich. 

Denn wie 1&1 bereits richtig angemerkt hat, war die Authentifizierung per Geburtsdatum zum fraglichen Zeitpunkt der Marktstandard. Wenn alle Unternehmen sich so verhalten, ohne dass die Datenschutzbehörden einschreiten – wieso ist der Verstoß bei 1&1 dann direkt so schwer, dass ein hohes Bußgeld verhängt wird? Hinzu kommt, dass beispielsweise die Landesdatenschutzbehörde von Baden-Württemberg eine Authentifizierung per Geburtsdatum als „gängige Praxis“ bezeichnet hat und eine Authentifizierung mittels eines „richtigen Geheimnisses“ (z.B. Kunden-PIN) nur für die Beauskunftung von sensiblen personenbezogenen Daten empfiehlt. Angesichts dessen sprechen vielen Gründe dafür, dass die Bußgeldverhängung durch den Bundesdatenschutzbeauftragten rechtswidrig war.

Zum anderen ist auch die Höhe des Bußgeldes sehr fragwürdig. Das „Bußgeldkonzept“ der deutschen Datenschutzbehörden geht als Bemessungsgrundlage der Bußgeldhöhe vom weltweiten, jährlichen Umsatz der Unternehmensgruppe aus. Das heißt: Bußgelder werden umso höher, desto größer die Unternehmensgruppe ist, zu dem das jeweils rechtsverletzende Unternehmen gehört. Demgegenüber spielt es bei der Bußgeldbemessung aber keine Rolle, ob sich der eigentliche Verstoß auf die ganze Unternehmensgruppe erstreckt, oder eben (wie hier) nur auf eine konkrete Tochtergesellschaft.

Indem die Datenschutzbehörden die Bußgelder immer auf Basis des weltweiten Gruppen-Umsatzes bemessen, an Stelle dabei auf die Ausmaße des konkreten Falls zu betrachten, verletzen sie den in der DSGVO und im GG verankerten Verhältnismäßigkeitsgrundsatz.

Unternehmen, die von potenziellen Sanktionen des Bundesdatenschutzbeauftragten betroffen sein könnten, sollten sich allerdings nicht darauf verlassen, ggf. erfolgreich ein Bußgeld vor Gericht angreifen zu können. Je nach Einzelfall können Gerichte die Bußgelder sogar noch erhöhen (sog. Gefahr der reformatio in peius), d.h. die Frage ob man überhaupt Rechtsschutz sucht, sollte wohl überlegt sein. Zum anderen ist die weiterhin beste Verteidigungsstrategie gegen Bußgelder weiterhin, es gar nicht erst zum DSGVO-Verstoß kommen zu lassen.