1&1: DSGVO Bußgeld von 9,5 Mio. zu hoch?

1&1 Bußgeld DSGVO

1&1: DSGVO Bußgeld von 9,5 Mio. zu hoch?

Am 11.11.2020 hatte das LG Bonn darüber zu entscheiden, ob das von 1&1 zu zahlende Bußgeld von 9,5 Millionen zu hoch angesetzt war.

Ende 2019 verhängte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ein enormes Bußgeld von insgesamt 9,5 Millionen Euro gegen den Internetanbieter 1&1. Das Unternehmen habe schwerwiegende Verstöße gegen die DSGVO zu verschulden.

Er wurde erstmals auf 1&1 aufmerksam, als ihm der Fall einer Frau geschildert wurde, die innerhalb von wenigen Minuten die Handynummer ihres Ex-Mannes von Mitarbeitern der 1&1-Hotline herausgegeben bekam. Die einzigen Informationen, die die Mitarbeiter von ihr abfragten, war der Name und das Geburtsdatum des Mannes. Nach eingängiger Kontrolle befand der Bundesdatenschutzbeauftragte dieses Authentifikationsverfahren für unangemessen. Als er jedoch ein Bußgeld von 9,5 Millionen Euro verhängen wollte, suchte das Unternehmen den Rechtsweg.

Das Urteil

Das LG Bonn unterstützte zunächst die Einschätzung des Datenschutzbeauftragten. Gemäß Art. 32 I DSGVO, sei 1&1 dazu verpflichtet gewesen die Daten ihrer Kunden durch technische und organisatorische Maßnahmen zu schützen. Dazu gehöre auch die Verpflichtung das Risiko einer unbefugten Offenbarung der Daten auszuschließen. Das von dem Unternehmen angewandte Authentifizierungsverfahren sei diesbezüglich ungenügend, weswegen eine Bußgeldzahlung nach Art. 83 IV a DSGVO angebracht sei.

Hinsichtlich der Höhe des verhängten Bußgeldes erteilte das Gericht jedoch eine klare Absage. Zwar bestand ein ernstzunehmendes Missbrauchsrisiko im Hinblick auf die Daten, die durch das Authentifizierungsverfahren weitergegeben werden konnten. Allerdings handele es sich bei den Daten nicht um solche, für die die DSGVO einen erhöhten Schutz anordne. Ferner habe 1&1 zur Aufklärung des Falls umfassend mit dem Bundesdatenschutzbeauftragten zusammengearbeitet und in der Zwischenzeit sein Schutzniveau durch Einführung eines Service-Pins deutlich erhöht. Bislang sei zudem kein weiterer Missbrauchsfall bekannt geworden. Aus diesen Gründen sei lediglich ein Bußgeld von 900.000€ für die datenschutzrechtlichen Verstöße angemessen.

Ausblick

Das Urteil gibt einen Einblick in die Bemessung von Bußgeldern nach der DSGVO. Das Gericht führte eine Vielzahl an Punkten an, die zu einer Senkung der Strafe führten. Besonders interessant war dabei, dass 1&1 zugutegehalten wurde, dass es sich in einem Rechtsirrtum befand. Dieser sei zwar vermeidbar, aber auch in gewisser Weise verständlich gewesen.

Der Bundesdatenschutzbeauftragte zeigte sich in einer Pressemitteilung seinerseits zuversichtlich. Auch nach der Kürzung des Bußgeldes könne von einer Signalwirkung für andere Unternehmen ausgegangen werden.

Bildrechte: byemo /Shutterstock.com