Deutschland: Strafe gegen 1&1 von (nur) EUR 900.000 – statt EUR 9,55 Millionen
(Bild: © iStock/fotogestoeber) 
Shop
Recht, Wirtschaft und Steuern. Unser Angebot im Shop.
Digital
Die Recherchedatenbank für Experten! Schnell und Effizient.
Media
Informiert mit News, Videos, Podcasts und den Zeitschriften des Verlags.
Campus
Top-aktuelle Seminare, Konferenzen, Lehrgänge und Webinare.
Das vom Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) gegen das Telekommunikationsunternehmen 1&1 verhängte Bußgeld iHv EUR 9,55 Mio. wurde vom Landgericht Bonn auf EUR 900.000 herabgesetzt. Dem Grunde nach ist eine Strafe jedoch berechtigt.
Anlassfall war der Anruf einer Frau bei der Hotline von 1&1. Diese wollte die neue Mobiltelefonnummer ihres geschiedenen Mannes erfragen. Mit Erfolg. Dazu musste sie sich lediglich als seine Noch-Ehefrau ausgeben und dessen Namen und Geburtsdatum angeben.
In diesem Datensicherheitsverstoß sah der BfDI einen grob fahrlässigen Verstoß gegen Art 32 DSGVO („Sicherheit der Verarbeitung“) und verhängte das Millionenbußgeld. Gegen diesen Bescheid legte 1&1 mit zumindest teilweisem Erfolg Einspruch ein.
Das LG Bonn erblickte zwar in den laxen Sicherheitsvorschriften von 1&1 ebenfalls einen Verstoß gegen die DSGVO, da Kundendaten im Rahmen der Callcenter-Kommunikation nicht ausreichend geschützt waren, erachtete aber die Höhe des Bußgeldes als überzogen. Es handelte sich nur um einen einmaligen und – auch nach Ansicht des BfDI – nur geringen Verstoß, da es aufgrund dessen nicht zur massenhaften Herausgabe von personenbezogenen Daten kam.
Die über Jahre geübte Authentifizierungspraxis wurde bislang nie beanstandet und fehlte es daher offenbar am Problembewusstsein dafür. Laut LG Bonn sei das Verschulden von 1&1 in diesem Fall daher nur als gering zu werten. Aufgrund dieser Überlegungen setzte das LG Bonn die Strafe auf EUR 900.000 herab.
Die Entscheidung zeigt, dass auch die neben den technischen Maßnahmen manchmal etwas vernachlässigten organisatorischen Maßnahmen jedenfalls ernst zu nehmen sind, da sonst empfindliche Strafen drohen. So ist oft nicht ein Hack oder eine technische Lücke schuld an einem Datenleck, sondern vielmehr menschliches Verhalten.
Das Bußgeld von EUR 9,55 Mio. wäre unbeanstandet eines der höchsten in Deutschland nach der DSGVO verhängten Bußgelder gewesen, die Strafen von bis zu 20 Mio. oder von bis zu 4% des weltweit erzielten Jahresumsatzes (je nachdem was höher ist) vorsieht.
Bislang höchste Strafe nach der DSGVO bleibt aber die im Oktober 2020 vom Hamburger Datenschutzbeauftragten gegen die Modekette Hennes & Mauritz (H&M) verhängte iHv EUR 35,5 Mio. H&M hat umfangreich private Lebensumstände eines Teils seiner Mitarbeiter erfasst und dauerhaft gespeichert.