Skip to content

LG München: 2.500 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO bei Nichtlöschung der Zugangsdaten nach Vertragsbeendigung und Zugriff auf Dokumentenarchiv durch Unbefugte

LG München
Urteil vom 09.12.2021
31 O 16606/20


Das LG München hat in diesem Verfahren dem Betroffenen 2.500 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO bei Nichtlöschung der Zugangsdaten nach Vertragsbeendigung und Zugriff auf das Dokumentenarchiv durch Unbefugte zugesprochen.

Aus den Entscheidungsgründen:

Der Kläger hat gegenüber der Beklagten einen Anspruch auf Zahlung von 2.500, - Euro gem. Art. 82 Abs. 1 DSGVO als immateriellen Schadensersatz.

Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Nach Art. 82 Abs. 3 DSGVO trägt die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen. Dem Verletzten obliegt es daher auch, den Datenschutzverstoß zu beweisen. Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. Hierauf kann jedoch eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden (Quaas BeckOK Datenschutzrecht, Wolff/Brink; 36. Edition Stand: 01.05.2021 § 82 Rn. 51; 9 U 34/21 OLG Stuttgart Urteil vom 31.03.2021; LG Frankfurt vom 18.01.2021 — 2-30 O 147/20).

Im Hinblick auf die Frage des Datenschutzverstoßes verlangt Art. 32 DSGVO (Sicherheit der Verarbeitung) geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) entnommen werden.

Insbesondere nennt der Erwägungsgrund 39 als geforderte Maßnahmen, dass gewährleistet ist, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Die Anlage zu § 9 BDSG 2003 listete technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 lit. f eingesetzt werden können.

Unter Zugrundelegung dieser Vorgaben hat die Beklagte einen Datenschutzverstoß begangen.

Hierbei kann dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen zugerechnet werden können. Denn die Beklagte hat selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DSGVO).

So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen CS. nach Beendigung der Geschäftsbeziehung nicht geändert hat. Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens CS. gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen. Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn - wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden.

Sofern die Beklagte ausweislich Ihres Schreibens vom 19.10.2020 nach dem Vorfall umgehend alle erforderlichen Maßnahmen ergriffen hat, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen, so ist es - entgegen der Ansicht des Beklagten - nicht als unzumutbar anzusehen, dass dies bereits unmittelbar nach Beendigung der Geschäftsbeziehung mit dem Unternehmen CS. hätte getan werden können. Auch wenn dies einen gewissen Aufwand erfordert hätte - und jetzt ja auch erfordert hat, kann dies keine Berechtigung dafür sein, die Daten der Kunden in einem bestimmten Bereich der Gefährdung durch einen (möglichen) unerlaubten Zugriff von außen ausgesetzt sein zu lassen.

Wenn die Beklagte außerdem betont, dass es sich bei CS. um ein unabhängiges Uhnternehmen handelt, dessen etwaige Unzulänglichkeiten ihr daher von vornherein nicht zugerechnet werden können, ist dies unerheblich. Denn es lag eben auch eine Unzulänglichkeit auf Seiten der Beklagten bzw. ein eigener DSGVO-Verstoß vor, und gerade die seitens der Beklagten vorgetragene fehlende rechtliche und tatsächliche Möglichkeit, den Löschungsprozess bei CS. zu beaufsichtigen, zu kontrollieren oder anzuweisen erforderte auf Seiten der Beklagten die Vornahme entsprechender eigener Sicherungsmaßnahmen.

Es liegt auch die erforderliche Kausalität zwischen dem „DSGVO-Verstoß“ und dem „Schaden“ vor. Art. 82 Abs. 1 DSGVO verlangt, dass der Schaden infolge eines konkreten DSGVO-Verstoßes eintritt. Es genügt zwar nicht, dass ein Schaden bloß auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen war (OLG Stuttgart, Urteil vom 31. März 2021, Az. 9 U 34/21, S. 8, Anlage B 2; Paal, MMR 2020, 14, 17 m.w.N.), vorliegend beruht der Schaden aber nicht nur auf eine solche Verarbeitung. Es ist davon auszugehen, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre (vgl. Quaas, in: BeckOK Datenschutzrecht, Wolff/Brink, 33. Ed., 01.08.2020, Art. 82 DSGVO Rn. 51; 26 - Mitursächlichkeit genügt).

Sofern die Beklagte das Urteil das LG München I vom 02.09.2021, 23 O 10931/20 angeführt, sprechen dessen Entscheidungsgründe gerade dafür, dass im vorliegenden Fall ein Schaden gegeben ist. So weist das Landgericht zutreffend darauf hin, dass nach Art. 82 DS-GVO auch ein durch einen Verstoß gegen die Verordnung entstandener immaterieller Schaden ersetzt werden kann sowie dass in den Erwägungsgründen (Nr. 75) (insbesondere) auch Nichtvermögensschäden durch Diskriminierung, Indentitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder gesellschaftliche Nachteile genannt sind (Vgl. BeckOK Datenschutz/Quaas DSGVO Art. 82 Rz. 23). Im dortigen Verfahren hat das Gericht seine Entscheidung insbesondere darauf gestützt, dass der Kläger sich darauf beschränkt hat, vorzutragen, sein Schaden bestehe im Verlust der Kontrolle über seine Daten (was aber auch im Erwägungsgrund Nr. 75 genannt ist!). Während dort ein Angriff auf den Account der E-Mail-Adresse zugrunde liegt, sind im vorliegenden Fall wesentlich umfangreichere und sensiblere Daten abgegriffen worden. Entgegen der Ansicht des LG Essen, Urteil vom 23.9.2021 - 6 O 190/21 liegt darin eine nicht nur „unbedeutende oder empfundene Verletzung von Persönlichkeitsrechten“. Im Übrigen erwähnt das LG Essen auch, dass ein Schmerzensgeldanspruch nach Art. 82 DS-GVO nicht auf schwere Schäden beschränkt ist, sodass sich ein genereller Ausschluss von Bagatellfällen verbietet. Das Gericht geht zudem offensichtlich (und zutreffend) auch davon aus, dass ein Identitätsdiebstahl für einen Schmerzensgeldanspruch ausreichen würde.

Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 Ill EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren. Denn nur so wäre eine effektive Durchsetzung des EU-Rechts — und damit auch der DS-GVO — gewährleistet (Wybitul/Haß/Albrecht: NJW 2018, 113, beck-online; vgl. auch Korch, NJW 2021, 978 - „Aus Erwägungsgrund 146 S. 3 ergibt sich, dass der Begriff des Schadens weit zu verstehen ist“).

Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet.

So hat die Beklagte mit Schreiben vom 19.10.2020 (Anlage K 7) den betroffenen Kunden, somit auch dem Kläger mitgeteilt, dass die folgenden Daten von dem Vorfall betroffen sind wie „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“ und dass der Versuch unternommen werden könnte, Dritte mit der Identität des Kunden zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch).

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten (vgl. Quaas BeckOK Datenschutzrecht, Wolff/Brink 37. Edition Stand: 01.08.2021 Rn. 31), wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31).

Allerdings muss bei der Bemessung der Höhe des immateriellen Schadensersatzes berücksichtigt werden, dass die streitgegenständlichen Daten offensichtlich bislang noch nicht, jedenfalls nicht zu Lasten des Klägers missbraucht worden sind und von daher allenfalls eine mehr oder weniger hohe Gefährdung angenommen werden kann. Berücksichtigt werden muss jedoch auch - wie oben angesprochen - die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes. Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht einen (immateriellen) Schadensersatz in Höhe von 2.500, - Euro als angemessen.

Sofern die Beklagte meint, es sei eine Vorabentscheidung des EuGH zwingend erforderlich, was jüngst das BVerfG, Beschluss von 14.1.2021 - 1 BvR 2853/19 festgestellt hat, so übersieht sie Art. 267 Abs. 3 AEUV. Während nämlich bei dem, der genannten Entscheidung zugrunde liegenden Sachverhalt weder die Berufungsbeschwer erreicht war, noch das Amtsgericht die Berufung zugelassen hatte, ist diese vorliegend unzweifelhaft gegeben (vgl. § 511 Abs. 1, 2 Ziff. 1 ZPO), so dass keine letztinstanzliche Entscheidung gegeben ist.


Den Volltext der Entscheidung finden Sie hier:


LG Bonn: Bußgeld gegen 1&1 wegen Verstoßes gegen Art. 32 DSGVO wird von 9,55 Mio EURO auf 900.000 EURO reduziert

LG Bonn
Urteil vom 12.11.2020
29 OWi 1/20 LG


Das LG Bonn hat entschieden, dass das Bußgeld gegen 1&1 (Siehe dazu: BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline) wegen Verstoßes gegen Art. 32 DSGVO wird von 9,55 Mio EURO auf 900.000 EURO reduziert wird.

Die Pressemitteilung des Gerichts:

Urteil im Bußgeldverfahren gegen einen Telekommunikationsdienstleister

Die 9. Kammer für Bußgeldsachen des Landgerichts Bonn hat heute entschieden, dass das Bußgeld, welches der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) gegen einen Telekommunikationsdienstleister aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) verhängt hat, dem Grunde nach berechtigt, aber unangemessen hoch sei. Die Kammer hat das Bußgeld von ursprünglich 9,55 Millionen Euro daher auf 900.000 Euro herabgesetzt.

Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.

Der BfDI verhängte deshalb im November 2019 gegen den Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen Euro wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.

Gegen diesen Bescheid hat der Telekommunikationsdienstleister Einspruch eingelegt, weshalb die Sache an fünf Hauptverhandlungstagen vor der 9. Kammer für Bußgeldsachen verhandelt wurde.

Die Kammer hat entschieden, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.

In der Sache liege ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sog. Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie z.B. die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten auf diesem Wege indes nicht abgefragt werden können.

Die Betroffene habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern sei dieser Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.

Die Höhe des Bußgeldes hat die Kammer in ihrer Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigten, dass es sich – auch nach der Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.




LfDI Baden-Württemberg: Bußgeld in Höhe von 1.240.000,00 EURO gegen AOK Baden-Württemberg wegen Verstößen gegen Art. 32 DSGVO

Das LfDI Baden-Württemberg hat ein Bußgeld in Höhe von 1.240.000,00 EURO gegen die AOK Baden-Württemberg wegen Verstößen gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) verhängt.

Die Pressemitteilung des LfDI:

LfDI Baden-Württemberg verhängt Bußgeld gegen AOK Baden-Württemberg – Wirksamer Datenschutz erfordert regelmäßige Kontrolle und Anpassung

Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die AOK Baden-Württemberg eine Geldbuße von 1.240.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK. Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.

Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.

„Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Der Sicherstellung datenschutzkonformer Zustände und der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde wird dabei regelmäßig große Bedeutung beigemessen. „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“, so Brink abschließend.


BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH ein Bußgeld von fast 10 Mio EURO verhängt. Inhaltlich geht es um einen Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) bei der telefonischen Kundenbetreuung und der Kundenauthentifizierung gegenüber der Hotline. 1&1 hat bereit rechtliche Schritte gegen den Bescheid angekündigt.

Die Pressemitteilung des BfDI:

BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus.

Dazu sagte der Bundesbeauftragte Ulrich Kelber: Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt.

Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.

Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen.

Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.