Die Verhängung eines Bußgeldes gegen ein Unternehmen hängt nicht davon ab, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt wird. Denn das nach Auffassung der Kammer anwendbare europäische Recht stellt anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.

Der Sachverhalt:
Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) hat gegen die Betroffene, einen Telekommunikationsdienstleister, aufgrund eines Verstoßes gegen die DSGVO ein Bußgeld von 9,55 Mio. € verhängt. Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.

Der BfDI verhängte deshalb im November 2019 gegen die Betroffene das oben genannte Bußgeld wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.

Auf den Einspruch der Betroffenen hat das LG das Bußgeld dem Grunde nach bestätigt, allerdings auf 900.000 € herabgesetzt.

Die Gründe:
In der Sache liegt ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sog. Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt hatte. Infolgedessen konnten nicht berechtigte Anrufer durch geschicktes Nachfragen und unter Vorgabe einer Berechtigung - nur mithilfe des vollständigen Namens und des Geburtsdatums - an weitere Kundendaten, wie z.B. die aktuelle Telefonnummer, gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen konnten auf diesem Wege indes nicht abgefragt werden.

Die Betroffene hatte sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern war dieser Rechtsirrtum zwar verständlich, aber dennoch vermeidbar.

Allerdings musste das Bußgeld der Höhe nach herabgesetzt werden, und zwar auf 900.000 €. Das Verschulden des Telekommunikationsdienstleisters war nämlich als gering anzusehen. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden war, hat es dort an dem notwendigen Problembewusstsein gefehlt. Zudem war zu berücksichtigten, dass es sich - auch nach der Ansicht des BfDI - nur um einen geringen Datenschutzverstoß handelte. Dieser hat gerade nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte geführt.

Die Verhängung eines Bußgeldes gegen ein Unternehmen hängt auch nicht davon ab, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt wird. Denn das nach Auffassung der Kammer anwendbare europäische Recht stellt anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.