Gericht reduziert Bussgeld für Telefonfirma von 9,55 Millionen auf 900.000 Euro

Das gegen das Unternehmen verhängte Bussgeld sei dem Grunde nach berechtigt, aber unangemessen hoch, entschied das Gericht am Mittwoch nach Angaben einer Sprecherin.

Anlass für das Bussgeldverfahren war eine Strafanzeige wegen Stalkings eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter der Firma die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgab. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer nutzte sie dann zu belästigenden Kontaktaufnahmen.

Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) verhängte deshalb im November 2019 gegen die Firma das 9,55-Millionen-Euro-Bussgeld wegen grob fahrlässigen Verstosses gegen die Datenschutzgrundverordnung. Zur Begründung führte der BfDI aus, dass die blosse Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.

Gegen diesen Bescheid legte der Telekommunikationsdienstleister Einspruch ein. Das Bonner Landgericht entschied nun, die Verhängung eines Bussgelds gegen ein Unternehmen hänge nicht davon ab, dass der konkrete Verstoss einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein solches Erfordernis auf.

Im vorliegenden Fall liege ein Datenschutzverstoss vor, weil das Telekommunikationsunternehmen die Daten seiner Kunden im Rahmen der Kommunikation über die sogenannten Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern unter anderem durch ein geschicktes Nachfragen möglich gewesen, nur mit Hilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten - wie zum Beispiel die aktuelle Telefonnummer - zu gelangen.

Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten indes auf diesem Weg nicht abgefragt werden können. Die Reduzierung des Bussgelds auf 900.000 Euro begründete die Kammer damit, dass das Verschulden des Unternehmens gering sei. Angesichts der über Jahre geübten Authentifizierungspraxis, die bis zu dem Bussgeldbescheid nicht beanstandet worden sei, habe es am notwendigen Problembewusstsein gefehlt.

Auch sei zu berücksichtigten, dass es sich auch nach der Ansicht des BfDI nur um einen geringen Datenschutzverstoss handle. Dieser habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.