Deutscher AnwaltSpiegel – Abonnement

Erhalten Sie alle zwei Wochen das Online-Magazin direkt in Ihr Postfach.

Kostenlos anmelden

Maßgebliche Kriterien zur Berechnung von Datenschutzbußgeldern

Folgen der Entscheidung des LG Bonn in Sachen „1&1“ für das Bußgeldkonzept der deutschen Aufsichtsbehörden

15. Januar 2021, von Dr. André Schmidt und Niklas Vogt

Beitrag als PDF (Download)

Das Landgericht (LG) Bonn hat im November 2020 das erste große Bußgeld des Bundesdatenschutzbeauftragten gegen die „1&1 Telecom GmbH“ (nachfolgend: „1&1“) in der Höhe um 90% reduziert und dabei einige spannende Aussagen zur Zurechnung von Datenschutzverstößen im Unternehmenskontext sowie zur Bußgeldbemessung gemacht. Anders als häufig behauptet, hat das Gericht das Bußgeldkonzept deutscher Aufsichtsbehörden nicht als unzulässig verworfen, sondern eine differenzierte Betrachtung vorgenommen. Im folgenden Beitrag wird erläutert, welche Konsequenzen sich aus dem Urteil tatsächlich ergeben. Darüber hinaus werden Empfehlungen zum Umgang mit Bußgeldbescheiden vor dem Hintergrund erteilt, dass diese in einem Verfahren auch nachträglich hochgesetzt werden können.

Der Ausgangsfall
Nachdem ein Callcentermitarbeiter von „1&1“ die neue Telefonnummer eines Kunden dessen Exfreundin preisgab, belegte der Bundesbeauftragte für den Datenschutz (BfDI) das Unternehmen mit einem Bußgeld in Höhe von 9,55 Millionen Euro. Der Grund dafür war ein unzureichendes Authentifizierungsverfahren bei der telefonischen Kundenbetreuung von „1&1“. Anrufer konnten allein mit Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Daten dieser Person erhalten.
Zur Bemessung des Bußgelds zog der BfDI den Umsatz des „1&1-Drillisch-Konzerns“ heran, zu dem die „1&1 Telecom GmbH“ gehört.
Bei der Berechnung des Bußgelds lehnte sich der BfDI an das durch die Konferenz der deutschen Datenschutzaufsichtsbehörden (DSK) im Oktober 2019 entwickelte Bußgeldkonzept (siehe hier) an. Dieses richtet den Bußgeldrahmen vornehmlich an der Unternehmensgröße und am Umsatz des betroffenen Unternehmens aus und erlaubt eine Berechnung des Bußgelds anhand von Multiplikatoren und Faktoren. Die im Einzelfall für und gegen den Betroffenen sprechenden individuellen Umstände (also die „weichen“, nicht kategorisierbaren Faktoren) werden erst in einem letzten Schritt berücksichtigt. Hinsichtlich der weichen Faktoren ließ der BfDI laut seiner damaligen Pressemitteilung (siehe hier) einfließen, dass sich „1&1“ einsichtig und äußerst kooperativ gezeigt und nach Absprache mit dem BfDI ein neues, deutlich verbessertes Authentifizierungsverfahren eingeführt habe. Dies habe sich bußgeldmindernd ausgewirkt.

Das Urteil des LG Bonn
Das LG Bonn (Az. 29 OWi 1/20; siehe hier) nahm in seinem Urteil vom 11.11.2020 zwar ebenfalls einen Verstoß gegen die DSGVO an. Es reduzierte das ursprüngliche Bußgeld aber erheblich um knapp 90% auf 900.000 Euro. Dabei traf das Gericht drei entscheidende Aussagen im Zusammenhang mit der datenschutzrechtlichen Bußgeldverhängung:
1) Das Gericht schloss sich der herrschenden Rechtsmeinung an, dass für die Bestimmung der Bußgeldobergrenze auf den Gesamtumsatz des Konzerns abgestellt werden kann und nicht lediglich auf den Umsatz der verletzenden Konzerngesellschaft. Es gelte insoweit der gleiche funktionale Unternehmensbegriff wie im Kartellrecht.
2) Außerdem ist es nach der Auffassung des Gerichts nicht erforderlich, im Bußgeldbescheid anzugeben, welche natürlichen Personen eines Unternehmens den Datenschutzverstoß konkret begangen haben. Ausreichend sei, den Datenschutzverstoß zu individualisieren. Das Landgericht bejahte damit eine unmittelbare Haftung des Unternehmens nach Art. 83 DSGVO. Der insoweit anderslautende § 30 OWiG (Gesetz über Ordnungswidrigkeiten) sei nicht anwendbar. Auch hier orientierte sich das Gericht am europäischen Kartellrecht.
3) Allerdings rügte das LG Bonn die vorranging umsatzorientierte Bußgeldbemessung des BfDI als unverhältnismäßig. So könne der Umsatz nur einer von vielen Zumessungsgesichtspunkten sein. Zwar fordere die DSGVO, dass Bußgelder auch abschreckend sein sollten, weshalb der Umsatz in jedem Fall ein relevanter Faktor sei. Rein umsatzbezogene Bußgelder würden dagegen insbesondere immer dann versagen, wenn umsatzstarke Unternehmen leichte Datenschutzverstöße begingen oder umsatzschwache Unternehmen gravierende Datenschutzverstöße.
Im konkreten Fall von „1&1“ berücksichtigte das LG Bonn für die Bußgeldbemessung neben dem Konzernumsatz und der Schwere des Verstoßes sämtliche individuellen Umstände des konkreten Einzelfalls. Hierzu gehörten

  • die Anzahl der Verstöße (ein Fall),
  • die betroffenen Datenkategorien (keine sensiblen Daten),
  • der Umfang der betroffenen Daten (kein Massendatenverlust),
  • die Wahrscheinlichkeit der Ausnutzung der schwachen Sicherheitsmaßnahmen (Missbrauchsgefahr nicht sonderlich hoch),
  • der erlittene Imageschaden von „1&1“ durch das öffentlichkeitswirksame Bußgeld und die Berichterstattung,
  • die Anzahl der bisher ergangenen Datenschutzgeldbußen (bislang keine),
  • die nicht vorsätzliche Begehung sowie
  • die umfangreiche Kooperation von „1&1“ und die unmittelbare Neugestaltung des Authentifizierungsprozesses.

Bedeutung der Entscheidung für die Praxis
Das Urteil des LG Bonn wurde mit Spannung erwartet, ist es doch das erste deutsche Gerichtsurteil, das sich mit Bußgeldbemessungskriterien in solch grundlegender Weise auseinandersetzt. Das Urteil darf jedoch nicht überbewertet werden. Es ist eine erstinstanzliche Entscheidung eines Landgerichts. Es wäre verfrüht, daraus eine klare Tendenz der Rechtsprechung abzuleiten.
So zeigt der Blick auf die Rechtsprechung in Österreich, dass man hinsichtlich der unmittelbaren Unternehmenshaftung und der Anwendbarkeit von § 30 OWiG durchaus anderer Meinung sein kann. Das österreichische Bundesverwaltungsgericht hatte in einer Entscheidung eine dem § 30 OWiG vergleichbare Regelung aus dem österreichischen Datenschutzgesetz angewendet und in jenem Fall den Bußgeldbescheid mangels erfolgter Personenzuordnung aufgehoben. Sollte sich hingegen die Ansicht des LG Bonn durchsetzen, hätte das für Unternehmen in Deutschland erhebliche Folgen. Für Aufsichtsbehörden ist es eine erhebliche Erleichterung, wenn sie im Bußgeldbescheid nicht die konkrete Person benennen müssen, der ein schuldhaftes Fehlverhalten vorzuwerfen ist.
Die Erwägungen des LG Bonn zur Berechnung der konkreten Bußgeldhöhe werden häufig verkürzt wiedergegeben. Das Landgericht hält eine vornehmlich umsatzorientierte Bußgeldbemessung zwar für „problematisch“. Daraus ergibt sich jedoch nicht, dass das Gericht das DSK-Bußgeldkonzept für gänzlich ungeeignet hält. Dazu wie folgt:
Das Bußgeldkonzept sieht tatsächlich zunächst die Ermittlung eines wirtschaftlichen „Grundwerts“ vor, der anhand der Unternehmensgröße und des Umsatzes ermittelt wird. Dieser Grundwert wird wiederum mit einem Faktor multipliziert, der sich aus der Schwere des Verstoßes ableitet. In einem letzten Schritt müssen jedoch sämtliche (noch nicht im Berechnungsmodell berücksichtigten) Umstände des Einzelfalls einbezogen werden. Über die vorzunehmende Gesamtabwägung im letzten Schritt der Bußgeldbemessung nach dem DSK-Konzept ist es durchaus möglich, das errechnete Bußgeld im Fall eines schwerwiegenden Verstoßes durch ein umsatzschwaches Unternehmen hochzusetzen. Genauso lässt es das DSK-Bußgeldkonzept zu, ein errechnetes Bußgeld aufgrund der konkreten Gesamtumstände des Einzelfalls deutlich zu reduzieren.

Diese Gesamtabwägung, die das DSK-Bußgeldkonzept zumindest im letzten Schritt vorsieht, kam nach Ansicht des LG Bonn bei der Bußgeldbemessung durch den BfDI zu kurz. Aus den Urteilsgründen ergibt sich, dass der BfDI offenbar nur einige mildernde Umstände zugunsten von „1&1“ berücksichtigt hat. Der BfDI hätte jedoch in der notwendigen Gesamtbetrachtung ausnahmslos alle Umstände des Einzelfalls berücksichtigen müssen. Dies ist anscheinend nicht geschehen. Bei zukünftigen Bußgeldbemessungen müssen die deutschen Aufsichtsbehörden daher (wieder) sehr viel stärker auf sämtliche Umstände des Einzelfalls eingehen. Die Unternehmensgröße und der Umsatz dürfen nicht die vorrangig maßgeblichen Kriterien sein. Das Berechnungsmodell nach dem DSK-Bußgeldkonzept kann daher allenfalls als grober Indikator dienen, in welchem Bereich sich ein Bußgeld bewegen könnte, wobei die Umstände des Einzelfalls zu berücksichtigen sind und für eine deutliche Absenkung oder Anhebung bis zu den in Art. 83 DSGVO genannten Bußgeldobergrenzen sprechen können.

Lohnt das Vorgehen gegen einen Bußgeldbescheid?
Die Auffassung des Gerichts dürfte viele Unternehmen (insbesondere umsatzstarke) freuen. Das Urteil lässt hoffen, dass auch andere Gerichte der Argumentation folgen werden und eine vorrangig umsatzorientierte Bußgeldbemessung von Aufsichtsbehörden nicht einfach durchwinken, sondern die jeweiligen Umstände des einzelnen Verstoßes in den Mittelpunkt stellen.
Andererseits sollte nicht blind jeder Bußgeldbescheid angegriffen werden, der als zu hoch erscheint. Es könnte eine Verschlechterung drohen: Legt der Bußgeldempfänger Einspruch gegen den Bescheid ein, geht der Ball im Rahmen des sogenannten Zwischenverfahrens (§ 69 OWiG) noch einmal zu der Aufsichtsbehörde. Diese ist zu einer erneuten inhaltlichen Prüfung des Bußgeldbescheids verpflichtet. Sie kann in diesem Zug einen neuen, höheren Bußgeldbescheid ausstellen, wenn sie der Meinung ist, dass der Verstoß strenger zu bewerten sei. Das Verschlechterungsverbot (Reformatio in Peius) gilt im Zwischenverfahren nicht. Auf diese Möglichkeit muss die Behörde in ihrem Bußgeldbescheid aber hinweisen
(§ 66 Abs. 2 Nr. 1 lit. a OWiG).
Erst im gerichtlichen Verfahren findet das Verschlechterungsverbot – in begrenztem Umfang – Anwendung, wenn das Gericht ohne mündliche Verhandlung durch Beschluss entscheidet (§ 72 Abs. 3 Satz 2 OWiG). Entscheidet das Gericht aufgrund mündlicher Verhandlung durch Urteil (wie hier das LG Bonn), kann es ebenfalls eine höhere Geldbuße festlegen.
Vor diesem Hintergrund sollten Verantwortliche genau überlegen, ob ein Einspruch Aussicht darauf hat, das ausgesprochene Bußgeld in der Höhe zu mindern. Vor allem nicht besonders umsatzstarke Unternehmen, die aktuell vom umsatzorientierten Bußgeldmodell in bestimmten Fällen eher profitieren, sollten genau prüfen lassen, ob ihnen ein Einspruch weiterhilft.

schmidt@lutzabel.com
vogt@lutzabel.com

Aktuelle Beiträge

Im vorliegenden Fall sollte ein als technischer Leiter beschäftigter Arbeitnehmer eine außerordentliche fristlose Änderungskündigung annehmen und sein Arbeitsverhältnis als Softwareentwickler fortsetzen.
AnwaltSpiegel
Unwirksame außerordentliche Kündigung BAG: Widersprüchliches Verhalten des Arbeitgebers schließt ausdrückliches Angebot zur Leistungsbereitschaft des Arbeitnehmers aus weiterlesen
Der Kläger war Beamter der Deutschen Bundespost. Seit deren Privatisierung wurde er bei der Beklagten – einem Postnachfolgeunternehmen – aufgrund einer Reihe befristeter Arbeitsverträge mit unterschiedlichen Aufgaben in einem Arbeitsverhältnis beschäftigt.
AnwaltSpiegel
BAG: Entfristungsfiktion bei der Fortsetzung von Arbeitsverhältnissen „Ohne Fleiß kein Preis“ weiterlesen
Mehr Fragen als Antworten: Arbeitgeber warteten mit Spannung auf die Vorschläge des BMAS zur Anpassung des Arbeitszeitgesetzes. Doch der nun vorliegende Referentenentwurf ist mehr als ernüchternd.
AnwaltSpiegel
Neue Vorgaben zur Arbeitszeiterfassung Referentenentwurf liegt vor – bisher mehr Fragen als Antworten weiterlesen
© 2023 Deutscher AnwaltSpiegel