900.000 Euro - nicht 9,5 Millionen - können als datenschutzrechtliches Bußgeld für eine Telefonauskunft über Vertragsdaten durch ein Callcenter an eine falsche Person angemessen sein, hat das Landgericht Bonn jetzt entschieden.

Rolf Schwartmann
Eine Kolumne
von Rolf Schwartmann
Diese Kolumne stellt die Sicht des Autors dar. Hier finden Sie Informationen dazu, wie wir mit Meinungen in Texten umgehen.

2018 erfuhr eine Frau bei der 1&1-Hotline die Telefonnummer ihres Ex-Mannes, nachdem sie dort dessen Namen und Geburtsdatum nannte. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) und das Unternehmen sahen in diesem Authentifizierungsverfahren einen Datenschutzverstoß.

Auf die Klage von 1&1 kürzte das Gericht das Bußgeld um gut 90 Prozent. Es liege ein Verstoß vor und das Bußgeld könne auch am Umsatz des Unternehmens bemessen werden, allerdings nicht nach der schematischen Formel der Behörde. Das Gericht kürzte die Buße auf knapp 10 Prozent. Eine Faustformel für die Reduktion ist der Abzug von 90 Prozent damit aber nicht. Zudem rechnete das Gericht das Verschulden des Mitarbeiters im Callcenter dem Unternehmen zu. Der Chef selber muss keinen Fehler machen.

Rechtfertigt ein leichter Verstoß ein Bußgeld?

Damit ist aber nicht alles geklärt. Ob bei einem leichten Verstoß überhaupt ein Bußgeld gerechtfertigt ist, oder ob hier mildere Sanktionen vorgehen, war nicht Thema des Bußgeldprozesses und ist ungeklärt. Ebenso ist nicht entschieden, ob der Arbeitgeber nun seinen Beschäftigten, der einen konkreten Fehler fahrlässig begangen hat, auf Schadensersatz in Höhe des Bußgeldes verklagen kann. Die DSGVO lässt das zu. Aber sollte der fahrlässige Beschäftigte eines Callcenters für das Unternehmen in die Bresche springen müssen, zumal bei exorbitanten Summen?

Die Korrektur der Aufsichtsentscheidung ist wichtig und 1&1 hat durch die deutliche Kürzung einen Sieg errungen. Allerdings hat auch der BfDI wichtige Punkte gemacht. Das Gesamtkonzept der Bußgeldbemessung scheint aber nicht haltbar. Für die Wirtschaft bringt das Urteil mehr Sicherheit. Irrationale Bußgelder aus der Giftküche der Verwaltungsbehörden haben eine Absage erhalten.

Zugleich ist aber klar, dass Datenschutzverstöße empfindliche, risikoadäquate Sanktionen mit sich bringen. Bleibt es bei der Entscheidung, dann hat auch der Steuerzahler gewonnen. Von den aufgerufenen 9,5 Millionen Euro müssen 900.000 gezahlt werden. Weil sich für den BfDI wegen des hohen Streitwerts ein Prozessrisiko mit Kosten in Höhe von knapp 280.000 Euro realisiert, bleibt ein Plus von circa 620.000 Euro in der Staatskasse.

Alle Seiten haben also irgendwie gewonnen. Dennoch lässt das Urteil zu viele Fragen offen und gehört in die nächsten Instanzen.

Offenlegung: Dieses Newsportal gehört zu 1&1

Wie kommt die Kanzlerin in der Pandemie zur Ruhe? Merkel verrät's

Die Kanzlerin sprach am Donnerstag in einer Videoschalte mit Auszubildenden über deren berufliche Zukunft, die Corona-Pandemie - und auch über Privates.