1&1: Eine Geldbuße schrumpft vor Gericht
Um welches Unternehmen geht es?
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hatte gegen die 1&1 Telecom GmbH (im Urteil als „K C GmbH“ bezeichnet) eine Geldbuße in Höhe von 9.550.000 € verhängt.
Dass es um dieses Unternehmen geht, ist allgemein bekannt. Die Medien haben darüber umfangreich berichtet. In der Fassung des Urteils, die das Gericht veröffentlicht hat, ist das Unternehmen selbstverständlich trotzdem nicht namentlich genannt.
Warum ist es von Bedeutung, dass dieses Unternehmen zu einem Konzern gehört?
Ein Konzern mit vier Ebenen
Für die ursprüngliche Höhe der Geldbuße spielt es eine große Rolle, dass das Unternehmen in einen Konzern eingebunden ist. Das Gericht erklärt den Aufbau des Konzerns in seinem Urteil so:
- Muttergesellschaft des Konzerns ist eine Aktiengesellschaft nach deutschem Recht, die KX-AG.
- Sie ist zu 100 % Eigentümerin der KG SE. SE ist dabei die Abkürzung für „Societas Europaea“. Diese Rechtsform bezeichnet man häufig als „Europäische Aktiengesellschaft“.
- Im Eigentum dieser Europäischen Aktiengesellschaft steht die K B GmbH.
- Die K B GmbH wiederum ist Eigentümerin der K C GmbH, also der 1 & 1 Telecom GmbH, gegen die der Bundesbeauftragte die Geldbuße verhängt hat.
Die Holding hat alles in der Hand
Zwischen allen Gesellschaften des Konzerns bestehen umfassende „Beherrschungsverträge“ und „Gewinnabführungsverträge“. Das ist in Konzernen so üblich.
Es führt dazu, dass die Muttergesellschaft an der Spitze den gesamten Konzern fest im Griff hat. Über die Beherrschungsverträge kann sie das Verhalten der zum Konzern gehörenden Unternehmen umfassend steuern. Über die Gewinnabführungsverträge hat sie Zugriff auf alle Gewinne, die Unternehmen des Konzerns erzielen.
Zusätzlich sind zentrale Unternehmensfunktionen wie das Finanz-& Rechnungswesen, das Cash-Management, das Personalwesen und das Risikomanagement für den gesamten Konzern bei der Muttergesellschaft angesiedelt.
Das operative Geschäft läuft „vor Ort“
Um das sogenannte „operative Geschäft“ kümmert sie sich dagegen nicht. Zum operativen Geschäft gehört vor allem die Vermarktung von Angeboten und der Abschluss von Verträgen mit Endkunden, insgesamt also das alltägliche Geschäft.
Umsatz und Gewinn 2018 und 2019
Die Muttergesellschaft erzielte im Geschäftsjahr 2018 Umsatzerlöse von 3,63 Milliarden €. Im Jahr 2019 stiegen sie auf 3,76 Milliarden €. Der Gewinn des gesamten Konzerns betrug im Jahr 2018 406 Millionen €, im Jahr 2019 373 Millionen €.
Das ist von Bedeutung, weil die Vorschrift über Geldbußen, also Art. 83 DSGVO, in ihren Absätzen 4, 5 und 6 auf den Jahresumsatz Bezug nimmt, den ein Unternehmen erzielt. Falls damit bei einem Konzern der Jahresumsatz des gesamten Konzerns gemeint ist, kommen weitaus höhere Geldbußen in Betracht, wie wenn ist dabei nur um den Umsatz eines einzelnen Unternehmens geht, das zum Konzern gehört. Diese Frage wird später noch bedeutsam.
Warum ist der BfDI für die Verhängung der Geldbuße zuständig?
Keine Zuständigkeit des BfDI für die Privatwirtschaft generell
Viele glauben, dass der BfDI die zuständige Aufsichtsbehörde für alle Unternehmen der Privatwirtschaft wäre. Das trifft jedoch nicht zu.
Die Festlegung der Aufsichtsbehörden für den Datenschutz ist Sache der Mitgliedstaaten. Dabei können sie eine oder mehrere Aufsichtsbehörden vorsehen (Art. 51 Abs. 1 DSGVO). Als Grundregel gilt nach deutschem Datenschutzrecht, dass für Unternehmen der Privatwirtschaft die Datenschutzbehörden der Bundesländer zuständig sind (§ 40 Abs.1 BDSG).
Aber umfassend Zuständigkeit für TK-Unternehmen
Etwas anderes gilt für die Datenschutzaufsicht über Telekommunikationsunternehmen. Für sie ist der BfDI zuständig. Dies ergibt sich aus § 115 Abs. 4 Telekommunikationsgesetz. Das führt dazu, dass er im vorliegenden Fall auch für die Verhängung einer Geldbuße zuständig ist.
Die Verhängung einer Geldbuße gehört zu den Befugnissen, die jede Aufsichtsbehörde hat (siehe Art. 58 Abs. 2 Buchst. i DSGVO).
Welcher Verstoß war der Grund für die Verhängung einer Geldbuße?
So haben manche Medien berichtet
Nach manchen Medienberichten war es angeblich so: Ein Mann war Kunde bei 1&1. Er hatte sich von seiner Lebensgefährtin getrennt. Um Ruhe vor ihr zu haben, änderte er seine bisherige Mobilfunknummer bei 1&1.
Am 23.12.2018 rief die Ex-Partnerin im Callcenter von 1&1 an und gab sich als seine Ehefrau aus. Da sie den Namen und das Geburtsdatum ihres Ex-Partners nennen konnte, schöpfte die Callcenter-Agentin keinen Verdacht. Durch geschickte Gesprächsführung konnte die Ex-Partnerin erreichen, dass ihr die Mitarbeiterin die neue Telefonnummer ihres Ex-Partners nannte. Das nutzte sie für belästigende Anrufe. Der Mann erstattete bei der Polizei Strafanzeige wegen Nachstellung (Stalking).
Die Polizei informierte den BfDI. Der verhängte daraufhin eine Geldbuße von 9.550.000 € gegen 1&1.
So sieht die Realität aus
Schon bei kurzem Nachdenken ahnt man, dass dies jedenfalls nicht die ganze Wahrheit sein kann. Tatsächlich hat sich der Vorfall so ereignet. Dies beschreibt das Gericht in Randnummer 26 seines Urteils im Detail.
Zu der Geldbuße in enormer Höhe kam es jedoch nicht wegen dieses Einzelvorfalls. Vielmehr nahm der BfDI den Einzelvorfall zum Anlass, einmal genauer zu recherchieren, wie bei 1&1 Anrufer im Callcenter identifiziert werden. Dabei stieß er auf folgende Abläufe:
Drei Konstellationen bei Anrufen von Kunden
Für jeden Kunden existiert ein Datensatz, auf den die Serviceagenten im Callcenter bei einem Anruf zurückgreifen können. Beim Zugriff der Serviceagenten auf den Datensatz wurden drei Fallkonstellationen unterschieden:
Konstellation 1
Bei dieser Konstellation benutzte der Anrufer eine Telefonnummer, die 1&1 vergeben hatte, und diese Telefonnummer war für den Serviceagenten als Nummer des Anrufers sichtbar. Dann ergab sich folgender Ablauf:
- Dem Serviceagent wurde der Datensatz zu dieser Telefonnummer direkt angezeigt.
- Der Serviceagent war verpflichtet, dann noch zusätzlich das Geburtsdatum des Anschlussinhabers abzufragen.
- Wenn dieses Geburtsdatum in Ordnung war, wurde der Anrufer als Berechtigter behandelt.
- Der Serviceagent durfte dem Anrufer dann Auskünfte erteilen und Änderungswünsche entgegennehmen. Bei bestimmten Themen (etwa Änderung einer Bankverbindung) leitete der Mitarbeiter des Callcenters den Anrufer an andere Mitarbeiter weiter. Eine zusätzliche strengere Authentifizierung erfolgte dabei nicht.
Konstellation 2
Bei dieser Konstellation benutzte der Anrufer entweder eine Telefonnummer, die nicht 1&1 vergeben hatte, oder der Anrufer unterdrückte seine Telefonnummer. Der Ablauf war dann wie folgt:
- Der Serviceagent verlangte den Namen des Kunden und außerdem entweder sein Geburtsdatum oder die Kundennummer oder die Auftragsnummer.
- Nach Eingabe dieser Daten wurde dem Serviceagenten der Datensatz zur zugehörigen Telefonnummer angezeigt.
- Auskünfte und Änderungswünsche bearbeitete der Serviceagent dann genauso wie bei Konstellation 1 beschrieben.
Konstellation 3
Hier rief eine andere Person als der Kunde im Callcenter an. Sie stellte sich beispielsweise als Familienangehöriger oder sonstige nahestehende Person vor. Für diesen Fall gab es keine umfassende Regelung. In der Praxis wurden diese Fälle so gehandhabt:
- Der Serviceagent fragte den Anrufer nach dem Namen und dem Geburtsdatum des Kunden.
- Konnte der Anrufer beides nennen, galt er als berechtigt, für den Kunden zu handeln.
- Dabei kam es nicht darauf an, ob der Kunde diese Person als „weiteren Ansprechpartner“ im System hinterlegt hatte oder nicht.
DSGVO? Wir machen einfach weiter!
Das Unternehmen verfuhr bereits seit Jahren so, wie eben beschrieben. Die Datenschutz-Grundverordnung nahm das Unternehmen nicht zum Anlass, diese Praxis zu überprüfen. Es machte vielmehr einfach so weiter wie bisher.
Unzureichende technische und organisatorische Maßnahmen
Der BfDI rügte, dass die geschilderte Handhabung insgesamt gegen Art. 32 Abs. 1 DSGVO verstößt. Nach dieser Vorschrift muss ein Verantwortlicher geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau zu gewährleisten. Ziel dieser Maßnahmen ist es unter anderem, die Vertraulichkeit der Systeme und Dienste sicherzustellen.
Das Gericht sah dies genauso. Es rügt, dass die beschriebenen Vorgehensweisen keinen ausreichenden Schutz dagegen bieten, dass unberechtigte Anrufer Daten des Kunden erfahren.
Dabei sei insbesondere zu beachten, dass die telefonische Kommunikation mit einem Callcenter weitgehend anonym abläuft. Der Mitarbeiter im Callcenter kann noch nicht einmal überprüfen, ob ein angebliches Angehörigenverhältnis überhaupt existiert. So weiß er etwa schlicht nicht, ob ein Kunde tatsächlich verheiratet ist oder nicht.
Wie hat 1&1 auf die Ermittlungen des BfDI reagiert?
Das Unternehmen verbessert die Sicherheit erheblich
1&1 nahm die Ermittlungen des BfDI zum Anlass, die bisherigen Abläufe grundlegend zu ändern. Dies geschah in zwei Schritten:
- Ab dem 8.5.2019 musste ein Anrufer folgende Daten nennen: Kundennummer oder Auftragsnummer, Geburtsdatum bzw. E-Mail-Adresse und außerdem die letzten vier Ziffern der IBAN, mit der Rechnungen überwiesen wurden.
- Seit dem 9.12.2019 muss ein Anrufer eine fünfstellige Service-PIN nennen können. Diese PIN wird dem Kunden per Mail oder per Post übermittelt. Er kann sie auf Wunsch im Online Control Center in eine Wunsch-PIN ändern. Diese Umstellung erforderte eine umfassende Änderung der IT-Struktur und verursachte erhebliche Schulungskosten für die Mitarbeiter.
Wie kam der BfDI auf die Höhe der Geldbuße?
Berechnung des Höchstrahmens
Als Obergrenze des möglichen Bußgeldrahmens nahm der BfDI 73.260.000 € an. Dabei stützte er sich auf die Vorgabe von Art. 83 Abs. 4 Buchstabe a DSGVO.
Diese Vorschrift geht davon aus, dass maximal 2 % des Jahresumsatzes als Geldbuße möglich sind. Legt man den Konzernumsatz des Jahres 2019 zugrunde, ergibt sich die genannte Obergrenze.
Anwendung des Bußgeldkonzepts der Datenschutzkonferenz
Innerhalb dieses maximalen Rahmens wandte der BfDI das Bußgeldkonzept der Datenschutzkonferenz vom 19.10.2019 an. So kam er zu der Geldbuße von 9.550.000 €. Das Bußgeldkonzept der Datenschutzkonferenz gewichtet sehr stark den erzielten Jahresumsatz. Andere Aspekte treten verglichen damit eher in den Hintergrund.
Warum hat das Gericht die Geldbuße um 90 % reduziert?
Deutliche Kritik am Bußgeldkonzept der Datenschutzkonferenz
Das Gericht gibt sehr deutlich zu erkennen, dass es sich in keiner Weise an das Bußgeldkonzept der Datenschutzkonferenz gebunden fühlt. Es kritisiert dieses Konzept sogar recht deutlich. Dabei unterscheidet es wie folgt:
- Bei Datenschutzverstößen von mittlerem Gewicht könnte das Konzept zu angemessenen Ergebnissen führen.
- Es versagt jedoch bei schweren Datenschutzverstößen umsatzschwacher Unternehmen, weil die aufgrund des Umsatzes eher geringe Geldbuße die Schwere des Verstoßes nicht ausreichend zum Ausdruck bringt.
- Umgekehrt versagt das Konzept genauso bei leichten Datenschutzverstößen umsatzstarker Unternehmen. In diesem Fall überzeichnet die aufgrund des Umsatzes eher hohe Geldbuße die Bedeutung des Verstoßes.
Damit ist das Konzept der Datenschutzkonferenz aus der Sicht des Gerichts nicht mit den Kriterien vereinbar, die Art. 83 Abs. 2 Satz 2 DSGVO für die Höhe einer Geldbuße festlegt.
Der Umsatz des Unternehmens, den das Konzept der Datenschutzkonferenz stark in den Vordergrund stellt, ist in Art. 83 Abs. 2 Satz 2 DSGVO nicht einmal als eigenständiges Kriterium genannt.
Berechnung des Höchstrahmens
Ausgehend von dieser Basis hält das Gericht zunächst fest, dass der maximale Rahmen für die Geldbuße „nur“ 72,6 Millionen € beträgt. Dies sind 2 % des Konzernumsatzes im Jahr 2018.
Es sei vom Jahresumsatz 2018 und nicht vom Jahresumsatz 2019 auszugehen. Maßgeblich sei nämlich der Umsatz des letzten abgeschlossenen Geschäftsjahrs. Da der BfDI seinen Bußgeldbescheid am 27.11.2019 erlassen hat, sei deshalb vom Jahresumsatz 2018 auszugehen. Der BfDI war dagegen vom Jahresumsatz 2019 ausgegangen.
Das Gericht sieht zahlreiche mildernde Umstände
Nach Auffassung des Gerichts ist innerhalb des vorgegebenen Rahmens eine Geldbuße von lediglich 900.000 € angemessen. Aus seiner Sicht liegt kein gewichtiger Datenschutzverstoß vor. Vielmehr gebe es zahlreiche mildernde Gesichtspunkte.
Dabei führt das Gericht folgende Aspekte an (Randnummern 104 bis 112 des Urteils):
- Es waren keine sensiblen Daten betroffen.
- Nur in einem Fall ist es nachweisbar zur Schädigung eines Kunden gekommen.
- Das Unternehmen ist irrigerweise davon ausgegangen, dass der Authentifizierungs-Prozess gesetzeskonform sei. Diese Fehlvorstellung wäre allerdings vermeidbar gewesen.
- Es gab keine Vorgaben für die Authentifizierung in Callcentern. Weder hatte sich der BfDI zu dem Thema geäußert, noch wurde es in der Datenschutzliteratur besonders behandelt.
- Das niedrige Sicherheitsniveau bestand auch deswegen, damit der Zugang der Kunden zum Callcenter ohne größere Hindernisse möglich war.
- Das Unternehmen hat mit dem BfDI kooperiert.
- Das Unternehmen hat das Schutzniveau in zwei Stufen auf ein letztlich angemessenes Maß erhöht.
- Gegen das Unternehmen wurde erstmals eine Geldbuße wegen eines Datenschutzverstoß verhängt.
„Millionen von Kundendaten betroffen“ – oder doch nicht?
Besonders geht das Gericht darauf ein, dass Millionen von Kundendaten betroffen waren. Dieser Aspekt spielt in der öffentlichen Berichterstattung über den Fall eine besondere Rolle. Hierzu weist das Gericht darauf hin, dass diese Aussage lediglich abstrakt zutrifft. Real habe nur für einen geringen Prozentsatz der Kunden die Gefahr einer Schädigung bestanden.
Dabei müsse man allerdings auch berücksichtigen, dass es angesichts des großen Kundenstammes gleichwohl um eine relativ große Zahl von Personen gehe. Insgesamt gesehen berücksichtigte das Gericht den Aspekt der „Millionen von Kundendaten“ jedoch nicht zulasten des Unternehmens.
Die Öffentlichkeitsarbeit des BfDI sieht das Gericht kritisch
Durchaus als Kritik am Vorgehen des BfDI lässt sich der Hinweis des Gerichts bewerten, dass der Bußgeldbescheid „öffentlichkeitswirksam“ erlassen worden sei und dass das Unternehmen dadurch einen „Reputationsschaden“ erlitten habe, also eine Rufschädigung.
Gerade die Höhe des zunächst verhängten Bußgeldes habe in der Öffentlichkeit den Eindruck entstehen lassen, es handle sich um einen gewichtigen Datenschutzverstoß. Hierzu sagt das Gericht ganz klar: „Dies ist indes nicht der Fall.“
Worin liegt die grundsätzliche Bedeutung der Entscheidung?
Eine Entscheidung von allgemeiner Bedeutung
Auf den ersten Blick könnte man meinen, dass die Entscheidung nur Unternehmen im Telekommunikationsbereich berührt oder allenfalls noch Unternehmen außerhalb dieses Bereichs, die mit großen Callcentern arbeiten.
So einfach liegen die Dinge allerdings nicht. In zweierlei Hinsicht hat die Entscheidung vielmehr grundlegende Bedeutung weit darüber hinaus.
Ein objektiver Verstoß gegen den Datenschutz genügt
Der erste Aspekt betrifft die Frage, welche Anforderungen an den Nachweis eines Datenschutzverstoßes in einem Unternehmen zu stellen sind:
- Genügt die Feststellung, dass in einem Unternehmen objektiv ein Datenschutzverstoß vorliegt?
- Oder muss im Einzelnen festgestellt werden, welche Personen im Unternehmen für den Verstoß verantwortlich sind?
Der BfDI hatte sich auf die Feststellung beschränkt, dass die damals übliche Vorgehensweise im Unternehmen gegen die Vorgaben über technische und organisatorische Maßnahmen (Art. 32 DSGVO) verstößt. Wessen Handlungen oder Unterlassungen dazu geführt hatten, stellte er in seinem Bescheid in keiner Weise dar.
Unterschiede zwischen EU-Recht und nationalem Recht
Das ist aus der Sicht des Gerichts ausreichend. Sein Kernargument: Art. 83 DSGVO, die Vorschrift über Geldbußen, sanktioniere die Tatsache, dass ein Datenschutzverstoß vorliege. Wessen Handlungen im Unternehmen dafür ursächlich sein, spiele keine Rolle.
Diese Aussage hört sich harmlos an, rührt jedoch an eine Grundfrage. Das traditionelle deutsche Sanktionsrecht, das Strafrecht ebenso wie das Recht der Ordnungswidrigkeiten, kennt keine unmittelbare Haftung von Unternehmen. Insbesondere kennt es keine Erstreckung der Haftung über das konkrete Unternehmen hinaus auf einen gesamten Konzern.
Völlig neue Sicht des EU-Rechts
Das ist im EU-Recht anders. Dort ist eine solche Haftung von Unternehmen und Konzernen möglich.
Das Gericht interpretiert Art. 83 DSGVO so, dass die Vorschrift genau eine solche weitgehende Haftung festlegt. Wäre dies anders, hätte der Geldbußenbescheid des BfDI keinen rechtlichen Bestand haben können. Das Gericht hätte das Verfahren vielmehr einstellen müssen, weil im Bescheid kein individuelles Fehlverhalten von konkreten Personen dargestellt ist.
Genau einen solchen Antrag auf Einstellung des Verfahrens hatten die Anwälte des Unternehmens übrigens gestellt.
Die geschilderte Grundfrage ist außerordentlich umstritten. Man kann fest davon ausgehen, dass sich auch noch andere Gerichte mit ihr befassen werden. Ob dabei alle zu demselben Ergebnis kommen wie das Gericht im vorliegenden Fall, wird man sehen.
Deutliche Distanz zum Bußgeldkonzept der Datenschutzkonferenz
Der zweite Aspekt, der dem Urteil grundlegende Bedeutung verleiht, ist die Haltung des Gerichts zum Bußgeldkonzept der Datenschutzkonferenz.
Aus seiner Sicht passt schon der Ansatz dieses Konzepts nicht, weil es die Höhe des Umsatzes ganz in den Vordergrund stellt. Sollte sich diese Sichtweise durchsetzen, hätte sich das Bußgeldkonzept in der Praxis erledigt, noch bevor es ernsthaft zur Anwendung kam.
Das Urteil des Landgerichts Bonn vom 11.11.2020-29 Owi 1/20 ist abrufbar unter https://www.justiz.nrw.de/nrwe/lgs/bonn/lg_bonn/j2020/29_OWi_1_20_Urteil_20201111.html. Es ist mittlerweile rechtskräftig (siehe https://www.handelsblatt.com/politik/deutschland/dsgvo-bussgeld-wegen-datenschutzverstoessen-urteil-gegen-1und1-ist-rechtskraeftig/26826800.html).
Das vom Gericht recht deutlich kritisierte Bußgeldkonzept der Datenschutzkonferenz ist verfügbar unter https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf.