Alle News & Events anzeigen

13.11.2020

Verstöße gegen die DS-GVO doch nicht so schlimm? – Bußgelder reduzieren sich drastisch

Anstelle der angekündigten Rekord-Bußgelder verhängte die ICO deutliche geringere Strafen gegen British Airways und Marriott. Das Landgericht Bonn reduziert das gegen 1&1 verhängte Bußgeld drastisch. Was ist passiert?

ICO verhängt deutlich geringere Bußgelder gegen British Airways und Marriott

Im Juli 2019 kündigte die britische Datenschutzbehörde ICO das bislang in Europa höchste Bußgeld in Höhe von € 200 Mio. gegen British Airways und € 110 Mio. gegen die Hotelkette Marriott an (SKW Schwarz berichtete). Nunmehr wurden diese Bußgelder jedoch in erheblichen Umfang reduziert - € 22 Mio. bzw. € 20,3 Mio.

Nach den Vorgaben der DS-GVO können die nationalen Datenschutzaufsichtsbehörden Bußgelder von bis zu € 20 Mio. oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorausgegangenen Geschäftsjahres aussprechen je nach dem welcher Betrag der höhere ist. Bei der Bemessung der Höhe des Bußgeldes spielt auch die finanzielle Situation des Unternehmens unter Umständen eine gewichtige Rolle. Durch die sogenannte Regulatory Action Policy ist die Datenschutzbehörde ICO verpflichtet, bei der Höhe der festzulegenden Bußgelder auch die ökonomischen Folgen für das Unternehmen zu berücksichtigen, insbesondere zu bedenken, ob sich das Unternehmen, das einen Datenschutzverstoß begangen hat, das Bußgeld der Höhe überhaupt leisten kann.

Nachweislich gehören British Airways und die Hotelkette Marriott zu den von der Corona-Pandemie stark betroffenen Unternehmen. Demzufolge berücksichtigte die Datenschutzbehörde ICO unter anderem die ökonomischen Folgen der Covid 19-Pandemie und reduzierte die Bußgelder gegen die beiden Konzerne erheblich. Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat in seinem Bußgeldverfahren gegen die AOK Baden-Württemberg die gegenwärtigen Herausforderungen der AOK in Folge der aktuellen Corona-Pandemie in besonderem Maß berücksichtigt.

Neben der aktuellen Corona-Pandemie führten weitere Faktoren dazu, dass die Datenschutzbehörde ICO die hohen Millionenbußgelder gegen die Fluggesellschaft British Airways und die Hotelkette Marriott abmilderte. Die Behörde hob die Kooperationsbereitschaft beider Unternehmen hervor und betonte die erheblichen Anstrengungen beider Unternehmen die Maßnahmen zur Datensicherheit und IT-Sicherheit aufzurüsten.

Landgericht Bonn reduziert Bußgeld gegen 1&1 um 90 %

Anders lag der Fall bei dem Bußgeld, welches gegen die die 1&1 Telecom GmbH verhängt worden ist. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) verhängte am 9. Dezember 2019 ein Bußgeld in Höhe von € 9,5 Mio. gegen den Telekommunikationsdienstleister wegen eines Verstoßes gegen Art. 32 DS-GVO, weil das Authentifizierungsverfahren für telefonische Auskünfte nicht dem Stand der Technik entspräche.

Die 1&1 Telecom GmbH klagte gegen den Bußgeldbescheid und begründete die Kläger damit, dass das Bußgeld unverhältnismäßig sei und die Bemessung gegen das Grundgesetz verstoßen würde. Das Landgericht Bonn bestätigte mit seinem Urteil vom 11. November 2020 zwar einen Verstoß gegen Art. 32 DS-GVO. Das Bußgeld wurde jedoch drastisch auf € 900.000,00 reduziert.

In der Sache sah das Landgericht Bonn nur einen leichten, nicht vorsätzlichen Verstoß gegen Art. 32 DS-GVO in einem Einzelfall für den ein Bußgeld in Millionenhöhe nicht angemessen sei. In das Urteil flossen zahlreiche mildernde Umstände ein. So seien keine besonderen Kategorien personenbezogener Daten betroffen und eine massenhafte Herausgabe von Daten sei nicht zu befürchten gewesen. Das Verschulden des Telekommunikationsdienstleisters sei gering anzusehen. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Demzufolge reduzierte das Landgericht Bonn die Höhe des Bußgeldes drastisch.

Eine weitere Kernfrage des Verfahrens – können Bußgelder überhaupt unabhängig von den Bestimmungen der §§ 30, 130 OWiG gegen Unternehmen verhängt werden – bejahte das Landgericht Bonn. Dem Urteil liegt damit die Geltung des Europäischen Unternehmensbegriffs zugrunde - die Verhängung eines Bußgelds gegen ein Unternehmen würde nicht davon abhängen, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung des Landgerichts Bonn anwendbare Europäische Recht stelle – anders als das Deutsche Ordnungswidrigkeitenrecht – kein entsprechendes Erfordernis auf.

Welche Folgen haben die drei aufgezeigten Reduzierungen für die Praxis?

Obwohl in den vorliegend benannten Fällen die Bußgelder drastisch reduziert worden sind, sollten Unternehmen sich jetzt nicht zurücklegen. Es muss bei Verstößen gegen die DS-GVO auch zukünfitg mit hohen Bußgeldern gerechnet werden. Verantwortliche können jedoch darauf bauen, dass aktuelle wirtschaftliche Entwicklungen sowie Verschuldensfragen bei der Bemessung des Bußgeldes zu berücksichtigen sind.

Die drei Verfahren gegen die Fluggesellschaft British Airways, die Hotelkette Marriott und den Telekommunikationsdienstleister 1&1 zeigen deutlich auf, dass Mängel bei der Datensicherheit einen der häufigsten Gründe darstellen, bei denen Datenschutzaufsichtsbehörden Bußgeldverfahren einleiten. Unternehmen sollten daher ihre Konzepte zur Datensicherheit regelmäßig überprüfen und bei Bedarf nachbessern. Eine regelmäßige Überprüfung der technischen und organisatorischen Schutzmaßnahmen nach Art. 32 DS-GVO kann zudem dazu beitragen, das Risiko zu minimieren, dass die zuständige Datenschutzaufsichtsbehörde einen Verstoß gegen Vorschriften der DS-GVO feststellt und widrigenfalls ein Bußgeld verhängt.

Weiterhin zeigt sich, dass Unternehmen gut beraten sind gegen verhängte/angekündigte Bußgelder vorzugehen. Das Beispiel des Telekommunikationsdienstleisters 1&1 zeigt, dass das Bußgeldkonzept der Datenschutzkonferenz vom 14. Oktober 2019 (SKW Schwarz berichtete) auf dem Prüfstand steht. Das Landgericht Bonn kritisierte, dass ein rein umsatzorientiertes Bußgeldkonzept wesentliche Bemessungspunkte außer Acht lässt. Demzufolge erklärte auch der Bundesdatenschutzbeauftragte Kelber in der Verhandlung, dass das Bußgeldkonzept der Datenschutzkonferenz überarbeitet werde.

Die Taskforce Datenschutz-Litigation von SKW Schwarz unterstützt Unternehmen bei allen Fragen rund um angedrohte oder verhängte Bußgelder sowohl bei außergerichtlichen Verhandlungen als auch bei der Vertretung vor staatlichen Gerichten bis hin zum EuGH. Zudem ist die Taskforce spezialisiert auf die Abwehr materieller und immaterieller Schadensersatzklagen sowie Abwehr von Einmeldeklagen von Verbrauchern gegen Inkassounternehmen und Auskunfteien.

Autor/innen

Oliver Hornung

Dr. Oliver Hornung

Partner

Profil anzeigen
Franziska Ladiges

Franziska Ladiges

Counsel

Profil anzeigen