Winkt das Ende von DSGVO Rekordbußgeldern?

veröffentlicht am 25. Februar 2021; zuletzt aktualisiert am 16. März 2021; Autoren: Gabor Hadnagy, Christoph Naucke

Erstmals musste ein deutsches Gericht über die Angemessenheit eines DSGVO Bußgeldes entscheiden. Das LG Bonn hat im Zusammenhang mit dem Bußgeld gegen 1&1 entschieden, dass die Bußgeldhöhe von 9,55 Mio. Euro nicht angemessen ist und setzte dieses auf 900.000 Euro herab. Wird durch dieses Urteil Millionenbußgeldern aufgrund von DSGVO-Verstößen ein Riegel vorgeschoben?​

Rückblick

Im Dezember 2019 verhängte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, ein Bußgeld von 9,55 Mio. Euro gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH. Das war das höchste Bußgeld, dass zu diesem Zeitpunkt in Deutschland aufgrund eines Datenschutzverstoß verhängt worden war. Konkret ging es bei diesem Verstoß um unzureichende technische und organisatorische Maßnahmen bei der Authentifizierung von Anrufern bei der Kundenbetreuung. Im vorliegenden Fall war es einer Frau möglich, unter Nennung von Namen und Geburtsdatum ihres Ex-Mannes dessen Handynummer zu erhalten.

Der BfDI befand, dass die Authentifizierung durch Abfrage solcher Daten einen grob fahrlässigen Verstoß gegen Art. 32 DSGVO („Sicherheit der Verarbeitung”) darstellt. In Anlehnung an die Vorgaben des Art. 32 DSGVO haben Unternehmen unter Berücksichtigung geeigneter technischer und organisatorischer Maßnahmen den Schutz personenbezogener Daten zu gewährleisten.

Die Höhe des Bußgelds orientiert sich hierbei zunächst am Art. 83 Abs. 4 lit. a DSGVO, wonach grundsätzlich ein Bußgeld von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Vorjahresumsatz möglich ist. Die Berechnung des Bußgeldes erfolgte auf der Grundlage des Konzepts zur Bußgeldzumessung der DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder).

1&1 kündigte nach Erhalt des Bußgeldbescheids an, sich gegen diesen aufgrund der Unverhältnismäßigkeit zu wehren.

Die Berechnung von DSGVO-Bußgeldern

Die Bußgeldhöhe wird innerhalb des vorgegebenen Rahmens der DSGVO unter Berücksichtigung verschiedener Faktoren festgesetzt. Unter anderem sind in Anlehnung an Art. 83 Abs. 3 DSGVO Art, Schwere und Dauer des Verstoßes, Zahl der vom Verstoß betroffenen Personen sowie das Ausmaß des von ihnen erlittenen Schadens für die Bemessung des Bußgeldes maßgeblich. Bis zur Veröffentlichung des Bußgeldkonzepts der DSK war unklar, wie Bußgelder im Einzelfall konkret zu berechnen sind. Dies führte in der Öffentlichkeit zu dem Eindruck, dass die Bußgeldberechnung regional stark unterschiedlich und teilweise willkürlich erfolgt und eine transparente Berechnungssystematik bis dahin gefehlt hatte.

Die Berechnung des Bußgeldes erfolgt in einem 5-stufigen Verfahren:

1. Einordnung des Unternehmens in eine Größenklasse von A.I bis D.VII anhand des Vorjahresumsatzes.
2. Bestimmung des mittleren Jahresumsatzes (Vorjahr).
3. Ermittlung des wirtschaftlichen Grundwertes. Als Ergebnis wird ein Tagessatz errechnet, welcher sich aus dem mittleren Vorjahresumsatz, dividiert durch 360, ergibt.
4. Multiplikation des wirtschaftlichen Grundwertes mit einem Schweregrad-Faktor. Dieser reicht von 1 (Leicht) bis < 6 (Sehr schwer) für formelle Verstöße nach Art. 83 Abs. 4 DSGVO bzw. von 1 bis < 12 für materielle Verstöße nach Art. 83 Abs. 5, 6 DSGVO.
5. Anpassungen des errechneten Wertes auf Grundlage des Einzelsachverhalts, sowohl zugunsten als auch zulasten des Unternehmens. Hierbei sind unter anderem Faktoren wie Zusammenarbeit mit der Aufsichtsbehörde sowie einschlägige frühere Verstöße zu berücksichtigen (vgl. Art. 83 Abs. 2 DSGVO).

Beispiel zur Verdeutlichung der Auswirkung: Gehen wir von zwei Unternehmen unterschiedlicher Größenklassen aus. Das erste erwirtschaftete im Vorjahr einen Gesamtjahresumsatz von 2 Mio. Euro und stellt somit ein Kleinstunternehmen der Kategorie A.III dar. Das zweite Unternehmen hat einen Vorjahresumsatz von 500 Mio. Euro und ist entsprechend der Klassifizierung in Größenklassen als Großunternehmen (D.VI) einzustufen.

Beide Unternehmen haben einen identischen, materiellen Rechtsverstoß nach Art. 83 Abs. 5 lit. a) DSGVO begangen. Dies könnte beispielsweise die Weiterleitung von Kundendaten an Dritte zu Zwecken der Werbung sein, ohne hierfür eine Einwilligung erhalten zu haben.

Nach dem Bußgeldkonzept der DSK würde sich damit folgende vereinfachte Bußgeldberechnung für beide Unternehmen ergeben:

Nicht einbezogen wurden in dieser Berechnung Tatsachen, die zu einer möglichen Bußgeldverringerung/-erhöhung führen könnten.

Das angeführte Beispiel verdeutlicht, zu welch unterschiedlichen Bußgeldern ein und derselbe Sachverhalt führt, wenn der Unternehmensumsatz als maßgebliches Kriterium herangezogen wird.

Die Entscheidung des LG Bonn

Erstmals seit Inkrafttreten der DSGVO hatte ein deutsches Gericht über ein Bußgeld zu entscheiden. Das mit Spannung erwartete Urteil vom LG Bonn (Az. 29 OWi 1/20 LG) fiel am 11.11.2020 zugunsten 1&1 aus. Im Ergebnis wurde das Bußgeld von 9,55 Mio. Euro auf 900.000 Euro herabgesetzt, was immerhin eine Reduzierung auf lediglich etwa 10 Prozent des ursprünglichen Bußgeldes bedeutet.

Das LG Bonn geht in seinem Urteil insbesondere auf die Bußgeldberechnung von Datenschutzverstößen nach Art. 83 DSGVO sowie auf das durch den BfDI herangezogene Berechnungskonzepts der DSK ein. Problematisch sieht es hierbei, dass das Bußgeld sich vornehmlich am Unternehmensumsatz orientiert und je nach Sachverhaltslage zu einem unangemessenen Ergebnis führt. Möglicherweise kann das Bußgeld in mittelschweren Fällen zu einem angemessenen Ergebnis führen, bei umsatzstarken Unternehmen mit leichten Datenschutzverstößen sowie bei umsatzschwachen Unternehmen mit schweren Verstößen versagt dieses Modell mit der Fokussierung auf den gesamten Vorjahresumsatz jedoch. Den Aufsichtsbehörden ist es auf Grundlage der Berechnungsmethode möglich, Bußgelder gegen umsatzschwache Unternehmen zu verhängen, die für diese auch existenzbedrohenden Charakter haben können.

Art. 83 Abs. 1 DSGVO fordert zwar, dass Bußgelder wirksam und abschreckend wirken sollen, jedoch darf dies bei zu entscheidenden Sachverhalten nicht als unangemessene Härte im Sinne einer überzogenen Reaktion erscheinen. Das LG Bonn empfindet in dem vorliegenden Sachverhalt ein Bußgeld von 900.000 Euro als ausreichend abschreckend. Unter anderem sind in die Bewertung eingeflossen, dass nachweislich lediglich eine Person auf Grund unzureichender Authentifizierungsmaßnahmen zu Schaden gekommen ist und hierbei keine sensiblen Daten betroffen waren. Auch die Tatsache, dass 1&1 umfassend mit dem BfDI kooperiert hat und unverzüglich das Schutzniveau in Abstimmung mit dem BfDI erhöht hat, wirkte sich mildernd auf die Höhe des Bußgeldes aus.

Ein weiterer durch das Gericht aufgearbeiteter Aspekt ist die Frage, ob ein Unternehmen aufgrund von §§ 30, 130 OWiG für einen Datenschutzverstoß nur dann haftet, wenn dessen Führungspersonen oder Organe schuldhaft gehandelt haben.

Über § 41 BDSG würde dieser Grundsatz auch auf Datenschutzverstöße Anwendung finden. Diese nationale Regelung wird von den Datenschutzaufsichtsbehörden bereits seit April 2019 beanstandet. Die DSK ist der Auffassung, dass datenschutzrechtliche Bußgelder unabhängig davon zu verhängen sind, ob das konkrete schuldhafte Handeln von einer Leitungsperson ausging oder von einem anderen Mitarbeiter.

Das LG Bonn schloss sich dieser Auffassung an und bestätigte damit den sog. Anwendungsvorrang der Bußgeldvorschriften der DSGVO. Konkret führt das Gericht aus, dass die Anwendung des § 30 OWiG zu einer erheblichen Einschränkung des europäischen Haftungsmodells führt, wenn trotz Datenschutzverstoß die internen Verantwortlichkeiten aufzuklären wären. Darüber hinaus ergeben sich bei Anwendungsvorrang nationaler Vorschriften erhebliche Abweichungen innerhalb der EU, was der angestrebten Vereinheitlichung der DSGVO Bußgeldvorschriften über alle Mitgliedstaaten hinweg zuwider liefe.

Sind zukünftig weitere DSGVO Rekordbußgelder in Millionenhöhe zu erwarten?

Nach dem ergangenen Urteil durch das LG Bonn haben der BfDI und die DSK bereits angekündigt, das Bußgeld-Berechnungsmodell anzupassen.

Zu beachten ist jedoch, dass es unterschiedliche Arten von Rechtsverstößen gibt. Unternehmen, die datenschutzrechtliche Anforderungen umgesetzt haben und lediglich Umsetzungsschwächen aufweisen, dürften zukünftig mit geringeren Bußgeldern rechnen. Hiervon abzugrenzen sind jedoch systematische Rechtsverstöße die beispielsweise als schwere Missachtung des Beschäftigtendatenschutzes zu bewerten sind. Beispielsweise wurde durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmBfDI) gegen H&M ein Bußgeld von knapp 35,5 Mio. Euro verhängt. Die festgestellte Ausspähung von Mitarbeitern wurde als eine schwerwiegende Missachtung des Beschäftigtendatenschutzes eingestuft und entsprechend hart geahndet. Das aktuelle Urteil des LG Bonn zur Bußgeldhöhe im Fall 1&1 gibt keinen Anlass zu der Erwartung, dass zukünftige Bußgelder in Fällen wie bei H&M ebenfalls grundsätzlich geringer ausfallen werden.

Sie sind sich unsicher, ob Sie den rechtlichen Anforderungen der DSGVO und des BDSG nachkommen? Gerne unterstützen wir Sie bei der Identifikation von Umsetzungslücken und helfen Ihnen, diese zu schließen. Informieren Sie sich über unser Beratungsangebot »