Geringeres Bußgeld für Datenschutzverletzung durch Telekommunikationsunternehmen

Das Landgericht Bonn hat im November 2020 entschieden, dass das vom Bundesda­ten­schutz­be­auftragten gegen einen Telekommu­ni­ka­ti­ons­dienstleister verhängte Bußgeld zwar dem Grunde nach berechtigt, in der Höhe von 9,5 Mio. Euro aber nicht angemessen war. Das Bußgeld wurde daher auf 900.000 Euro gesenkt.

Grund für das Verfahren war eine Strafanzeige wegen Stalkings durch einen Kunden des Telekommu­ni­ka­ti­ons­dienstleisters. Dessen Ex-Partnerin hatte das Callcenter des Telekommu­ni­ka­ti­ons­dienstleisters kontaktiert und nur durch Nennung des Namens und Geburtsdatums die neue Telefonnummer des Opfers erlangt. Diese Nummer verwendete sie in der Folge für belästigende Telefonaufnahmen.

Der Bundesda­ten­schutz­beauftrage verhängte daraufhin eine Geldbuße von 9,55 Mio. Euro wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DS-GVO, da die Authenti­fizierung durch bloße Abfrage von Name und Geburtsdatum keinen ausreichenden Datenschutz gewährleiste.

Das Landgericht Bonn folgt dem Bundesda­ten­schutz­be­auftragten in der Sache, weist aber darauf hin, dass auf die dargestellte Weise keine hochsensiblen Daten wie Verbindungs­nachweise und Kontodaten erlangbar waren. Der Telekommu­ni­ka­ti­ons­dienstleister habe sich insofern in einem Rechtsirrtum befunden, auch weil keine verbindlichen rechtlichen Vorgaben für den Authenti­fi­zie­rungsprozess in Callcentern existieren. Insofern sei der Irrtum zwar verständlich, aber nicht unvermeidbar gewesen, so das LG Bonn.

Das Gericht sieht das Verschulden des Unternehmens aber als so gering an, dass das verhängte Bußgeld auf etwa ein Zehntel zu kürzen sei, zumal der Verstoß an sich kaum gravierend war und nicht zu einem Massenvorfall hätte führen können.

Zur Pressemitteilung hier.