Bundesdatenschützer kassiert im Streit mit Internetunternehmen 1 & 1 juristischen Dämpfer

Mit knapp zehn Millionen Euro bestrafte der Bundesdatenschutzbeauftragte 1 & 1 wegen eines Datenschutzverstoßes. Der Konzern klagte und bekam jetzt teilweise recht.

Der Bundesbeauftragte für Datenschutz hat im Streit mit 1 & 1 einen Rückschlag erlitten. Foto: dpa

Der Bundesbeauftragte für den Datenschutz, Ulrich Kelber (SPD), hat im Streit mit dem Internetunternehmen 1 & 1 einen juristischen Dämpfer kassiert. Kelber hatte gegen den Konzern im vergangenen Jahr wegen eines Datenschutzverstoßes eine Geldbuße von 9,6 Millionen Euro verhängt. Das Landgericht Bonn hat die Strafe nun deutlich herabgesetzt.

1 & 1 soll jetzt nur noch 900.000 Euro zahlen, wie das Gericht am Mittwoch entschied. Das Verschulden des Unternehmens aus Montabaur in Rheinland-Pfalz bei der Herausgabe von Kundendaten sei gering, teilte das Gericht mit.

Kelber hingegen verbuchte die Entscheidung des Landgerichts als Erfolg für sich. Das Urteil zeige, dass Datenschutzverstöße nicht ohne Folgen blieben. „Ich bin überzeugt, dass diese Entscheidung in den Chefetagen von Unternehmen wahrgenommen wird“, sagte Kelber. Er warte noch auf die schriftliche Begründung des Urteils, aber klar sei schon jetzt: „Kein Unternehmen kann es sich mehr leisten, den Datenschutz zu vernachlässigen.“

Die Richter folgten mit Blick auf die Bußgeldhöhe der Argumentation von 1 & 1. Das Telekommunikationsunternehmen hatte seine Klage gegen den Bußgeldbescheid damit begründet, dass dieser „absolut unverhältnismäßig“ sei. Bei dem beanstandeten Verstoß habe es sich lediglich um einen Einzelfall aus dem Jahr 2018 gehandelt.

Konkret ging es um den Anruf einer Frau bei der 1 & 1-Hotline. Die Stalkerin bekam die neue Handynummer ihres Ex-Mannes heraus, nur indem sie seinen Namen und sein Geburtsdatum nannte – das hätte nicht geschehen dürfen. In diesem laxen Authentifizierungsverfahren sah der Bundesdatenschutzbeauftragte Kelber einen grob fahrlässigen Verstoß gegen Artikel 32 der Datenschutz-Grundverordnung (DSGVO) und verhängte die Millionenbuße.

Die DSGVO schreibt vor, dass Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Verarbeitung personenbezogener Daten systematisch zu schützen.

Der Datenschutzanwalt Tim Wybitul aus der Kanzlei Latham & Watkins stuft die reduzierte Buße immer noch als sehr hohen Betrag, zumal es sich um einen „bloß fahrlässigen Fehler“ in einem Authentifizierungsprozess gehandelt habe. „Man kann sich ja ausmalen, was für Bußgelder dann bei einem vorsätzlichen Verstoß oder bei einem Fehler drohen, der tatsächlich Schäden bei einer Vielzahl betroffene Personen verursacht“, sagte Wybitul dem Handelsblatt.

Datenschutz-Grundverordnung ermöglicht grundsätzlich hohe Geldstrafen

Datenschutz sei Grundrechtsschutz, hatte Kelber seinerzeit das Vorgehen gegen 1 & 1 begründet. Die Geldbuße sei „ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden“. Er verwies darauf, dass die Geldbuße höher hätte ausfallen können, die Firma habe sich aber einsichtig gezeigt und ihre Arbeitsweise in einem ersten Schritt verbessert. In einem zweiten Schritt ist ein neues Authentifizierungsverfahren in Arbeit.

Für den Bundesdatenschützer war die Auseinandersetzung mit 1 & 1 das erste große Gerichtsverfahren seit Inkrafttreten der DSGVO im Mai 2018. Das Gericht sei der Auffassung der Aufsichtsbehörde in „wesentlichen Punkten“ gefolgt: Die 1 & 1 Telecom GmbH habe durch „unzureichende Sicherheitsmaßnahmen im Callcenter einen Datenschutzverstoß begangen“ und müsse nach den Maßstäben der DSGVO dafür haften, teilte Kelbers Behörde mit.

In der Sache liege zwar ein Datenschutzverstoß vor, entschied das Gericht. Es handele sich aber nur um einen geringen Verstoß, der nicht „zur massenhaften Herausgabe von Daten an Nichtberechtigte“ habe führen können. Da die über Jahre bei 1 & 1 geübte Authentifizierungspraxis bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt.

Mit der DSGVO sind erstmals hohe Geldstrafen bei Datenschutzverstößen möglich. Konnten nach dem alten Bundesdatenschutzgesetz maximal 300.000 Euro Bußgeld verhängt werden, erlaubt die DSGVO nun bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes.

Bislang höchstes Bußgeld gegen H & M

Die europaweit geltenden Datenschutzvorschriften sollen vor allem Verbraucher besser schützen. So wird etwa die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine oder Behörden deutlich strenger geregelt als zuvor. Verbraucher müssen darüber informiert werden, wer Daten wie Name, Adresse, E-Mail-Adresse und Ausweisnummer aus welchem Grund sammelt – und dem dann zustimmen.

Der Datenschutzanwalt Wybitul schätzt, dass die Gerichtsentscheidung zu 1 & 1 eine Signalwirkung auf andere Datenschutzverfahren haben könnte. „Ich gehe tatsächlich davon aus, dass auch andere Gerichte - selbst bei festgestellten Verstößen gegen geltendes Recht – gerade Millionenbußgelder sehr skeptisch sehen werden“, sagte er. „Das ist auch richtig so, bei derartig hohen Beträgen sollten Richter genau hinschauen, bevor sie Bußgelder bestätigen.“
Offen ist noch ein Verfahren in Berlin. Im vergangenen Jahr hatte die Berliner Datenschutzbeauftragte Maja Smoltczyk auf Grundlage der DSGVO einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen den Immobilienkonzern Deutsche Wohnen erlassen. Das Unternehmen hat dagegen Widerspruch eingelegt. Der Ausgang des Falls ist noch offen.

Anfang Oktober hatte der Hamburger Datenschutzbeauftragte das bislang höchste DSGVO-Bußgeld gegen den Modehändler Hennes & Mauritz (H & M) erlassen. Der Grund: Mindestens seit dem Jahr 2014 sei es bei einem Teil der Beschäftigten zu „umfangreichen Erfassungen privater Lebensumstände“ gekommen, hatte die Behörde mitgeteilt. Entsprechende Notizen seien auf einem Netzlaufwerk dauerhaft gespeichert worden. Da H & M keinen Widerspruch eingelegt hat, sind nun 35,3 Millionen Euro fällig.