Geburtsdatum als alleiniges Authentifizierungsmittel ungeeignet

Wie wichtig es ist, die datenschutzrechtlichen Vorgaben in alle Prozesse eines Unternehmens zu integrieren und betriebliche Abläufe entsprechend datenschutzkonform zu gestalten, zeigt das Bußgeld gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte gegen das Unternehmen Anfang Dezember 2019 ein Bußgeld in Höhe von 9,55 Millionen Euro wegen der mangelnden Sicherheit beim Authentifizierungsverfahren des telefonischen Kundenservices. Das eingesetzte Verfahren sei aufgrund unzureichender technischer und organisatorischer Maßnahmen nicht geeignet, um die Weitergabe von Kundendaten an Unberechtigte zu vermeiden.

Nachdem die 1&1 Telecom GmbH Einspruch gegen die Geldbuße erhoben hatte, wurde Anfang Oktober 2020 vor dem Landgericht (LG) Bonn das erste Verfahren gegen ein Millionenbußgeld nach der DS-GVO in Deutschland eröffnet (Az.: 29 OWi 1/20 LG).

Hintergrund des Bußgelds

Bei dem konkreten Fall, der die Ermittlungen des BfDI nach sich zog, erhielt die ehemalige Lebensgefährtin eines Kunden des Telekommunikationsdienstleisters dessen neue Telefonnummer. Hierfür gab sie sich beim Kundendienst als Ehefrau aus und musste lediglich den Namen und den Geburtstag des Mannes angeben. Die Telefonnummer nutzte sie, um ihrem ehemaligen Partner telefonisch nachzustellen, der schließlich Strafanzeige wegen Stalkings erstattete.

Nach Ansicht des BfDI ist dieses Authentifizierungsverfahren unzureichend, da Anrufer mit wenigen Angaben weitreichende Auskünfte über persönliche Daten von Kunden erhalten. Dass unberechtigte Dritte diese Informationen ohne großen Aufwand abfragen können, stellt einen Verstoß gegen Art. 32 DS-GVO dar. Danach müssen Unternehmen durch geeignete technische und organisatorische Maßnahmen ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Dies war bei dem angewendeten Verfahren zur Authentifizierung eben nicht der Fall, wodurch für den gesamten Kundenstamm des TK-Dienstleisters das Risiko bestand, dass die Vertraulichkeit der Daten verletzt wird.

Millionenbußgeld trotz Kooperation

Das Unternehmen zeigte sich bei den Ermittlungen der Aufsichtsbehörde einsichtig und kooperativ, beispielsweise wurden die Abfragen im Rahmen des Authentifizierungsprozesses bereits vor Abschluss des Bußgeldverfahrens erweitert. In Absprache sollte das Authentifizierungsverfahren weiter verbessert werden, um den Anforderungen der DS-GVO zu entsprechen. Dennoch verhängte der BfDI ein Bußgeld von knapp 10 Millionen Euro und begründete die Höhe mit der großen Anzahl an betroffenen Personen. Die Geldbuße sei aufgrund der Kooperation der 1&1 Telecom GmbH immer noch im unteren Bereich des Bemessungsrahmens.

Das Unternehmen sah das Bußgeld als unverhältnismäßig hoch an und reichte deshalb Klage ein. Das Landgericht Bonn musste sich daraufhin nicht nur mit der Frage auseinandersetzen, ob wirklich ein Verstoß gegen Art. 32 DS-GVO vorlag. Vielmehr mussten auch die wichtigen Grundsatzfragen geklärt werden, ob gegen ein Unternehmen als juristische, nicht selbst handlungsfähige Person überhaupt ein Bußgeld verhängt werden kann und ob das festgesetzte Bußgeld angemessen ist.

Haftung von Unternehmen

Die Streitfrage, ob Unternehmen überhaupt haftbar gemacht werden können, resultiert aus einer Kollision zwischen dem deutschen Gesetz über Ordnungswidrigkeiten (OWiG) und der europäischen DS-GVO. Nach dem OWiG können Unternehmen nur haftbar gemacht werden, wenn der juristischen Person die Handlung, die zu dem Verstoß geführt hat, zugerechnet werden kann. Das bedeutet kurz gesagt, eine natürliche Person aus der Unternehmensleitung muss vorsätzlich oder fahrlässig einen Verstoß begangen oder Aufsichtspflichten verletzt haben. Die bloße Tatsache, dass ein Datenschutzverstoß vorliegt, ist hierfür nicht ausreichend. Diese Regelung führt faktisch zu einer Beschränkung der Haftung nach Art. 83 DS-GVO. Ob dies zulässig ist oder die Regelung des OWiG in diesem Fall eingeschränkt ausgelegt werden muss, ist strittig. Die Bonner Richter vertreten die Auffassung, dass Unternehmen für Datenschutzverstöße haftbar gemacht werden können und es eben nicht erforderlich ist, dass der Regelverstoß von einer Leitungsperson ausgeht.

Bemessung von Bußgeldern

Eine weitere Grundsatzentscheidung, mit der sich das LG Bonn befassen musste, ist die Bemessung der Bußgeldhöhe im Fall der 1&1 Telecom GmbH. Nach Art. 83 Abs. 1 DS-GVO müssen Bußgelder wirksam, verhältnismäßig und abschreckend sein. Was genau unter diesen unbestimmten Rechtsbegriffen zu verstehen ist, muss anhand des Einzelfalls ausgelegt werden. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat Mitte Oktober 2019 ein Bußgeldkonzept veröffentlicht, das als Grundlage für die Bemessung der Geldbußen dienen soll.

Entscheidung des LG Bonn

Das LG Bonn bestätigte in seinem Urteil vom 11.11.2020 die Einschätzung des BfDI, dass ein Verstoß gegen Art. 32 DS-GVO vorliegt und Unternehmen haftbar gemacht werden können. Die Richter stuften die Höhe des verhängten Bußgelds aber als unangemessen hoch ein und reduzierten das Bußgeld daher deutlich auf 900.000 Euro. Nach Ansicht des Gerichts fanden bei einer umsatzorientierten Bemessung andere Aspekte wie die Schwere der Verletzung, die Reaktion des Verantwortlichen oder die Umsetzung weiterer Maßnahmen zur Begrenzung im Fall der 1&1 Telecom GmbH zu wenig Beachtung. Nach Ansicht der Richter spielt es auch eine entscheidende Rolle, ob der verantwortlichen Stelle das datenschutzrechtliche Problem bewusst oder bekannt war. Im Fall von 1&1 war das Authentifizierungsverfahren bis zum Bußgeldverfahren nie beanstandet worden. In den Augen der Richter hat dies zu einem verständlichen, wenn auch vermeidbaren Rechtsirrtum über die Angemessenheit der Schutzmaßnahme geführt. Zusätzlich bewertete das Gericht auch die Art des Datenschutzverstoßes und seine Folgen. Es war zwar möglich, dass eine unberechtigte Person mithilfe des Namens und Geburtstags als angebliche Angehörige Kundeninformationen erhielt. Hierbei handelte es sich aber weder um sensible Informationen wie die Einzelverbindungsdaten oder Kontoinformationen noch war ein massenhaftes Abgreifen von Datensätzen auf diesem Weg möglich.

Auswirkungen der Entscheidung

Mit der Entscheidung gibt es in Deutschland eine erste richterliche Einordnung und Auslegung zentraler Sachfragen:

• Unternehmen haften in Deutschland für Datenschutzverstöße. Es ist nicht notwendig, dass die Verletzung von einem Leitungsorgan begangen wird.
• Der Name und das Geburtsdatum reichen für eine Identifizierung am Telefon nicht aus und sind damit im Callcenter oder Kundenservice nicht ausreichend, um ein angemessenes Schutzniveau im Sinne von Art. 32 DS-GVO zu gewährleisten.
• Für die Bemessung von Bußgeldern sind neben dem Umsatz eine Reihe weiterer Faktoren heranzuziehen, um zu einer angemessenen Höhe des Bußgelds zu gelangen.
• Trotz mangelnden Problembewusstseins liegt im Falle eines Rechtsirrtums über die konkreten Anforderungen der DS-GVO ein bußgeldbewährter Verstoß gegen die DS-GVO vor.
• Das fehlende Problembewusstsein und die Kooperationsbereitschaft des Unternehmens sind bußgeldmindernd anzusetzen.

Der Bundesdatenschutzbeauftragte sieht in dem Urteil trotz der massiven Reduktion des Bußgelds eine Bestätigung zur Rechtsauffassung der Aufsichtsbehörde in den zentralen Sachfragen. Das Urteil bestätigt, dass die 1&1 Telecom GmbH durch unzureichende Sicherheitsmaßnahmen im Callcenter einen Datenschutzverstoß begangen hat, der nicht ohne Folgen blieb.

Zentrale Kernbotschaft für Unternehmen aus dem Urteil ist, dass sie für die Einhaltung der datenschutzrechtlichen Vorgaben in ihrem Betrieb verantwortlich und haftbar sind. Auch wenn ihnen datenschutzrechtliche Baustellen nicht bewusst oder bekannt sind, können sie mit einem Bußgeld sanktioniert werden. Aus diesem Grund ist es essenziell, die eigenen technischen und organisatorischen Maßnahmen regelmäßig zu überprüfen und ggf. anzupassen.