Die DSGVO gibt Datenschützern im Kampf gegen Datenschutz-Sündern eine scharfe Waffe in die Hand. Die EU-weit gültige Verordnung sieht nämlich drakonische Bussgelder bei Verstössen vor, bis zu vier Prozent des gesamten Konzern-Jahresumsatzes. Bei Global Players wie Facebook und Google können da Milliarden zusammenkommen, doch auch bei einem nicht ganz so grossen Konzern tun vier Prozent des Umsatzes richtig weh. United Internet verzeichnete 2018 einen Umsatz von rund 5,1 Milliarden Euro, theoretisch wäre also ein DSGVO-Bussgeld von über 200 Millionen Euro denkbar.

Ganz so hoch war die Summe auf dem Bussgeldbescheid nicht, den der Bundesdatenschutzbeauftragter Ulrich Kelber (SPD) 2019 der 1&1 Telecom GmbH zustellen liess. Kelbers Behörde forderte 9,55 Millionen Euro, orientiert am Umsatz der United-Internet-Tochter.

Der Verstoss: Die telefonische Kundenbetreuung des Unternehmens hatte einer Anruferin die Mobilfunknummer eines Bestandskunden herausgegeben, nachdem diese sich mit dem Namen und dem Geburtsdatum des Kunden authentifiziert hatte. Bei dem Kunden handelte es sich um den Ex-Mann der Anruferin, den sie gestalkt hat.

Eine solche Kundenauthentifizierung, so sah es die Behörde, entspricht nicht dem gesetzlichen Standard des §32 DSGVO. 1&1 Telecom habe keine ausreichenden Massnahmen getroffen, um Kundendaten vor dem Zugriff Unbefugter zu schützen.

Das Millionenbussgeld ist das erste in dieser Höhe, das nach Inkrafttreten der DSGVO 2018 in Deutschland verhängt wurde. 1&1 Telecom half es auch nicht, dass das Unternehmen intensiv mit der Aufsichtsbehörde kooperierte und unverzüglich zusätzliche Sicherheitsmechanismen etablierte, um eine Wiederholung zu verhindern. Offenbar wollte Kelber damit ein Zeichen setzen. In einer Pressemitteilung seiner Behörde heisst es: "Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbussen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden."

Das wollte das Telekommunikationsunternehmen so nicht akzeptieren und klagte beim Landgericht Bonn gegen den Bescheid. Für die 1&1-Datenschutzbeauftragte Julia Zirfass handelt es sich bei dem festgestellten Verstoss um eine Ordnungswidrigkeit, und da sei ein Bussgeld in dieser Höhe unverhältnismässig. Zirfass sieht ein Spannungsfeld zwischen dem deutschen Ordungswidrigkeitsrecht und dem europäischen Datenschutzrecht. Denn Ordnungswidrigkeiten können nicht von Unternehmen begangen werden, sondern nur von Personen, und da stellt sich dann die Frage, inwieweit die Handlungen der Personen dem Unternehmen zuzurechnen sind. Nach Ansicht vieler Juristen lässt das Ordnungswidrigkeitsrecht Bussgelder gegen Unternehmen nur dann zu, wenn der Verstoss entweder von einem Mitglied der Unternehmensleitung begangen oder fahrlässig seine Aufsichtspflicht verletzt hat.

Das Urteil, das am gestrigen Mittwoch verkündet wurde (Az. 29 OWi 1/20 LG), korrigiert die Höhe des verhängten Bussgeldes. Statt 9,55 Millionen Euro, so entschied das Gericht, müsse 1&1 Telecom "nur" 900.000 Euro zahlen. "Das Landgericht Bonn hat ausgeführt, dass ein Bussgeld abschreckend sein soll“, kommentiert Rechtsanwältin Mareike Gehrmann von der Kanzlei Taylor Wessing. Der Umsatz könne aber nur der Orientierung dienen und lege die Obergrenze fest. Gehrmann weiter: "Das Gericht bestätigt, dass die mildernden Faktoren Berücksichtigung finden müssen. Im Fall von 1&1 also, ob es sich um einen erstmaligen Verstoss handelt sowie ob und wie das Unternehmen reagiert."

Sollte dieses Urteil Bestand haben, müssten die deutschen Datenschutzbehörden ihr Konzept der Bussgeldbemessung überdenken. "Ein rein umsatzorientiertes Bussgeldkonzept wie es die deutschen Datenschutzbehörden vorgesehen haben, entspricht eben nicht unseren Rechtsstaatsprinzipien."