LG Bonn reduziert Milli­o­nen­bußgeld gegen Tele­kommunikations­dienstleister wegen Daten­schutz­verstoßBußgeld von ursprünglich 9,55 Mio. Euro auf 900.000 Euro herabgesetzt

Anlass für das Bußgeld­ver­fahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekom­mu­ni­kations-dienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekom­mu­ni­ka­ti­o­ns­dienst­leisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontakt­auf­nahmen genutzt.

BfDI verhängte Bußgeld wegen grob fahrlässigen Verstoßes gegen DSGVO

Der BfDI verhängte deshalb im November 2019 gegen den Telekom­mu­ni­ka­ti­o­ns­dienst­leister ein Bußgeld in Höhe von 9,55 Millionen Euro wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authen­ti­fi­zierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste. Gegen diesen Bescheid hat der Telekom­mu­ni­ka­ti­o­ns­dienst­leister Einspruch eingelegt..

LG: Kein Konkrete Verstoß einer Leitungsperson erforderlich

Das LG hat entschieden, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der anders als das deutsche Ordnungs­wid­rig­kei­tenrecht kein entsprechendes Erfordernis auf.

Kein hinreichend sicheres Authen­ti­fi­zie­rungs­ver­fahren stellt Daten­schutz­verstoß dar

In der Sache liege ein Daten­schutz­verstoß vor, da der Telekom­mu­ni­ka­ti­o­ns­dienst­leister die Daten seiner Kunden im Rahmen der Kommunikation über die sog. Callcenter nicht durch ein hinreichend sicheres Authen­ti­fi­zie­rungs­ver­fahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie z.B. die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzel­ver­bin­dungs­nachweise, Verkehrsdaten oder Konto­ver­bin­dungen hätten auf diesem Wege indes nicht abgefragt werden können. Die Betroffene habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authen­ti­fi­zie­rungs­prozess in Callcentern sei dieser Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.

Verschulden des Telekom­mu­ni­ka­ti­o­ns­dienst­leisters gering

Die Höhe des Bußgeldes hat das LG in ihrer Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekom­mu­ni­ka­ti­o­ns­dienst­leisters sei gering. Im Hinblick auf die über Jahre geübte Authen­ti­fi­zie­rung­s­praxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problem­be­wusstsein gefehlt. Zudem sei zu berück­sich­tigten, dass es sich – auch nach der Ansicht des BfDI – nur um einen geringen Daten­schutz­verstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nicht­be­rechtigte führen können.