DA+

Urteil : Kriterien einer Bußgeldbemessung nach DS-GVO : aus der RDV 1/2021, Seite 48 bis 55

(Landgericht Bonn, Urteil vom 11. November 2020 – 29 OWi 1/20 –)

Archiv RDV
Lesezeit 34 Min.

Die Betroffene wird wegen des Verstoßes gegen die Verpflichtung, durch geeignete technische und organisatorische Maßnahmen ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, unter Abänderung des von dem BfDI verhängten Bußgelds in Höhe von 9.550.000 € zu einer Geldbuße von 900.000 € verurteilt.

Aus den Gründen:

Die Betroffene K C GmbH gehört zum K X Konzern (im Folgenden: K X). Dieser zählt zu den fünf größten Telekommunikationsdienstleistern in Deutschland.

Die K X AG als börsennotierte Muttergesellschaft konzentriert sich auf die Holding-Aufgaben wie Geschäftsführung, Finanzund Rechnungswesen, Cash-Management, Personalwesen und Risikomanagement. …..

K X hatte im Geschäftsjahr 2018 Umsatzerlöse von rund 3,63 Milliarden Euro, die im Jahre 2019 auf 3,76 Milliarden Euro stiegen. Der Gewinn des Konzerns betrug im Jahre 2018 rund 406 Millionen Euro, im Jahre 2019 rund 373 Millionen Euro.

II. 1. Im Tatzeitraum seit Inkrafttreten der DS-GVO am 25.05.2018 bis zum 08.05.2019 betrieb die Betroffene im Konzernverbund für die Marke K Callcenter mit #.### CallcenterServiceagenten. Diese betreuten rund #,# Millionen Kunden.

  1. a) Die Callcenter-Agenten der Betroffenen arbeiteten mit der sog. Z (im Folgenden Z), einer Benutzeroberfläche auf der Grundlage der Kundendatenbank des Unternehmens K. Diese stellte dem Callcenter-Agenten die für die Bearbeitung von Kundenanfragen erforderlichen Informationen zur Verfügung. Im Einzelnen waren dies:

– Name und Kundenummer

– Adresse des Kunden

– Geburtsdatum des Kunden

– Vertragsdaten (Art, Konditionen, Laufzeit und Vertragsstatus)

– Telefonnummer des Kunden

– E-Mail-Adresse des Kunden

– Werbeeinstellungen

– Rechnungsdaten bzw. -status (d.h. offen bzw. beglichen)

– die Bankverbindung, die allerdings nach der „Need-toknow“-Regel nur Mitarbeitern vollständig angezeigt wurde, die damit arbeiteten (z. B. W, S, Forderungsmanagement), während den Callcenter-Agenten des First-Level-Support nur die letzten vier Ziffern der IBAN angezeigt wurden

– Rechnungen, wobei die Kontonummer bis auf die vier letzten Ziffern technisch unkenntlich gemacht („ausgeixt“) waren

– die vergangene Korrespondenz mit dem Kunden

Einzelverbindungsnachweise oder sonstige Verkehrsdaten wurden nicht in der Z angezeigt und waren somit auch nicht für die Callcenter-Agenten einsehbar. Sie wurden den Kunden nur im Control-Center, einer Web-Anwendung zur Selbstverwaltung des Kundenkontos, zur Verfügung gestellt.

b) Anrufer erreichten im Callcenter in der Regel als erstes einen Serviceagenten des First-Level-Supports. Dieser musste den Anrufer zunächst identifizieren. Erfolgte der Anruf unter einer von K vergebenen Telefonnummer wurde dem Serviceagenten der jeweilige Datensatz der Telefonnummer direkt angezeigt. Handelte es sich dagegen um einen Anruf von einer fremden oder unterdrückten Telefonnummer, wurde der Kunde vom Serviceagenten anhand seines Namens und seines Geburtsdatums oder – alternativ – durch Angabe von Kunden-/Vertrags- bzw. Auftragsnummer identifiziert.

Der jeweilige Serviceagent war angehalten, den Anrufenden als Berechtigten zu authentifizieren. Hierzu wurde – soweit dies nicht bereits für den Aufruf des richtigen Datensatzes im Rahmen der Identifizierung erforderlich war – das Geburtsdatum abgefragt.

Nach der Authentifizierung waren die Callcenter-Agenten ermächtigt, dem Anrufer Auskünfte zu erteilen und Änderungswünsche entgegenzunehmen. Bei bestimmten Themen leiteten die Callcenter-Agenten des First-Level-Support auf der Grundlage eines Berechtigungskonzepts die Anrufer an andere Mitarbeiter weiter. So konnte etwa nur die Rechnungsstelle eine neue Bankverbindung eingeben. Eine nochmalige oder strengere Authentifizierung erfolgte gegenüber diesen weiteren Mitarbeitern nach der Authentifizierung durch den First-Level-Support nicht.

Für den Fall, dass für den Callcenter-Agenten erkennbar eine andere Person als der Kunde im Callcenter anrief, hatte die Betroffene keine umfassende Regelung getroffenen. Lediglich für den Umgang mit telefonischen Anfragen von gesetzlichen Betreuern gab es eine besondere Arbeitsanweisung. Im Übrigen entsprach es bei der Betroffenen gängiger Praxis, dass Personen, die sich als Familienangehörige des Kunden oder sonst nahestehende Personen vorstellten und zur Authentifizierung den Namen und das Geburtsdatum des Kunden nennen konnten, als legitimiert galten, für den Kunden zu handeln. Dies war unabhängig davon, ob diese Person vom Kunden als sog. weiterer Ansprechpartner im System hinterlegt worden war oder nicht. Nicht ausdrücklich geregelt war auch, wie die Callcenter-Agenten reagieren sollten, wenn ein anrufender Dritter im Rahmen des Authentifizierungsprozesses das Geburtsdatum des Kunden nicht nennen konnte.

Die Authentifizierung der Anrufer im Callcenter wurde bei der Betroffenen schon seit mehreren Jahren wie vorstehend beschrieben praktiziert. Eine Überprüfung dieser Praxis auf ihre Konformität mit der Datenschutzgrundverordnung erfolgte nicht.

2. Die Möglichkeit, als (vermeintliche) Familienangehörige eines Kunden anzurufen, machte sich die ehemalige Lebensgefährtin eines Kunden von K zunutze. Ihr Ex-Partner hatte seine vorherige Mobilfunknummer bewusst geändert, um von ihr nicht mehr kontaktiert zu werden. Aufgrund einer offenen Forderung war es zu einer Sperrung des Mobilfunkanschlusses des K-Kunden gekommen, was der ehemaligen Lebensgefährtin offenbar bekannt war. Am 23.12.2018 rief sie im Callcenter der Betroffenen an, gab sich als Ehefrau des Kunden aus und erklärte, dass sie die offene Forderung beglichen habe. Da sie den Namen und das Geburtsdatum ihres Ex-Partners nennen konnte, wurde sie durch die Callcenter-Agentin als Berechtigte behandelt. Im Zuge des Gesprächs wurde der Anruferin die neue Telefonnummer ihres Ex-Partners bekannt gegeben. Dies nutzte sie in der Folge für belästigende Anrufe, weswegen der Kunde von K bei der Polizei M Anzeige wegen Nachstellung erstattete.

3. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – BfDI – erlangte durch eine Mitteilung der Polizei M vom 31.01.2019 von dem Vorfall Kenntnis. Am 25.03.2019 leitete der BfDI ein Ordnungswidrigkeitenverfahren gegen die Betroffene ein. Mit Schreiben vom 08.04.2019, zugestellt am 11.04.2019, hörte er die Betroffene an. Mit Bußgeldbescheid vom 27.11.2019 verhängte der BfDI gegen die Betroffene wegen eines grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DS-GVO ein Bußgeld in Höhe von 9.550.000 EUR. Zu Begründung führte er aus, durch die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern bzw. Dritten sei kein angemessenes Schutzniveau nach Maßgabe des Art. 32 DS-GVO gewährleistet. Bei einem Bußgeldrahmen von bis zu 73.260.000 Euro sei die verhängte Geldbuße im unteren Bereich verortet.

4. Eindeutige Anforderungen an den Authentifizierungsprozess in Callcentern waren zum damaligen Zeitpunkt nicht etabliert. Richtlinien oder Hinweise dazu wurden von dem BfDI nicht veröffentlicht. Auch in den halbjährlich stattfindenden Besprechungen der führenden Telekommunikationsunternehmen mit dem BfDI („N“) war die Frage, wie in Callcentern die Identifizierung und Authentifizierung der Kunden erfolgen soll, nicht Gegenstand. Im Zusammenhang mit einem Beratungs- und Kontrollbesuch des BfDI bei der Betroffenen im November 2015 wurde die Anrufer-Authentifizierung nicht bemängelt. Gegenstand der Prüfung war allerdings die Aufzeichnung von Gesprächen im Callcenter im Zusammenhang mit Vertragsschlüssen und die Notwendigkeit einer Einwilligung hierin. Auch in Fachzeitschriften und sonstiger Literatur wurden die Anforderungen an eine Authentifizierung im Callcenter nicht thematisiert, auch nicht im Zusammenhang mit der Einführung der DS-GVO. Lediglich eine Dissertation aus dem Jahre 2012 (Hoss, Callcenter aus der Perspektive des Datenschutzes – Rechtlicher Rahmen und Gestaltungsvorschläge für ein automatisiertes Gesprächsmanagement-System, 2012) hat sich im Zusammenhang mit „geeigneten Methoden zur sicheren Authentifizierung der Kunden“ in Call-Centern mit der Verwendung von Geheimwissen, insbesondere PINs, befasst. Eine starke Authentifizierung wurde dort bei besonders schützenswerten personenbezogenen Daten gefordert, beispielsweise im Gesundheitsbereich. Ansonsten sei das erforderliche Sicherheitsniveau einzelfallabhängig zu ermitteln.

5. Die Betroffene hat im November 2019, also noch vor der öffentlichkeitswirksamen Verhängung des Bußgeldes durch den BfDI, untersucht, wie bei anderen großen Unternehmen die Anrufer im Callcenter authentifiziert werden, bevor ihnen personenbezogene Daten mitgeteilt werden. Diese Untersuchung ergab das folgende Ergebnis:

– P: Tochter ruft ausdrücklich für ihre Mutter an und nennt deren Kundennummer, Namen und Geburtsdatum. Eine Vollmacht wird nicht verlangt.

– J: Der Anrufer authentifiziert sich über die im Vertrag hinterlegte Mobilnummer unter Angabe von Geburtsdatum und Anschrift.

– Q: Der Anrufer authentifiziert sich mit Kundennummer, Namen, Geburtsdatum.

– O: Der Anrufer muss die OCard-Nummer angeben.

– E: Anrufer wird nach seiner 4-stelligen PIN gefragt. Falls diese nicht zur Hand ist, wird eine Authentifikations-TAN auf das Endgerät geschickt.

– R: Falls ein Anrufer seine Vertragskontonummer nicht zur Hand hat, genügt die Angabe von Nachname, Postleitzahl und Geburtsdatum.

– X2: Es genügt die Angabe von KFZ-Kennzeichen, Name und Geburtsdatum.

– W2: Falls ein Anrufer seine Vertragsnummer oder Kundennummer nicht zur Hand hat, genügt die Angabe des Namens und des Geburtsdatums des Vertragsinhabers.

– A2 GmbH: Es wird die Kundennummer, Name, Anschrift und Geburtsdatum abgefragt.

– M2: Es genügt die Kundennummer, falls nicht zur Hand, reichen auch Name und Geburtsdatum.

6. Als Reaktion auf die Ermittlungen des BfDI änderte die Betroffene die Authentifizierung im Callcenter. Als vorläufige Maßnahme wurde am 08.05.2019 eine Authentifizierung über die Kunden-/Vertrags- oder Auftragsnummer, das Geburtsdatum bzw. die Emailadresse und die letzten vier Ziffern der IBAN eingeführt.

Seit dem 09.12.2019 müssen sich die Anrufer in den Callcentern von K mittels einer fünfstelligen Service-PIN authentifizieren, die den Kunden per Email oder postalisch übermittelt wurde und bei Bedarf im Online Control Center in eine WunschPIN geändert werden kann. Die IT-Struktur der Betroffenen musste angepasst und die Mitarbeiter im Callcenter entsprechend geschult werden. Die Umsetzungskosten beliefen sich auf rund # Millionen Euro (#,# Millionen Euro für die Entwicklung, Implementierung und Qualitätssicherung, 2 Millionen Euro für den Postversand und jeweils ###.### Euro für Schulungen und sonstige Ausgaben, wie etwa Rechtsberatung).

III. Die Feststellungen beruhen auf der Einlassung der Betroffenen, den Angaben der Datenschutzbeauftragten der Betroffenen, der Zeugin Dr. A, sowie dem von K beauftragten und von dort über den Sachverhalt instruierten Sachverständigen Prof. Dr. Y. Diese haben den Sachverhalt so geschildert, wie die Kammer diesen festgestellt hat. Die Angaben stehen im Einklang mit den in die Hauptverhandlung eingeführten Urkunden, die die Angaben in Details ergänzten. Zwischen den Verfahrensbeteiligten besteht über den Sachverhalt Einigkeit. Gestritten wird nur über die rechtlichen Folgen.

IV. Ein Prozesshindernis besteht nicht. Der Bußgeldbescheid des BfDI bildet eine tragfähige Grundlage für das gerichtliche Verfahren, so dass dem Antrag der Verteidigung auf Einstellung des Verfahrens nicht nachzukommen war.

1. In dem Bußgeldbescheid des BfDI wird der Datenschutzverstoß näher dargelegt und festgestellt, dass die Betroffene gegen Art. 83 Abs. 4 Buchst a) i.V.m. Art. 32 Abs. 1 der Verordnung (EU) 2016/679 (DS-GVO) verstoßen habe, indem sie es jedenfalls grob fahrlässig unterlassen habe, Prozesse zur hinreichenden Authentifizierung von Anrufern zu gewährleisten. Nicht näher beschrieben wird, welche natürlichen Personen im Unternehmen der Betroffenen durch welche Handlungen den Datenschutzverstoß begangen haben.

2. Damit beschreibt und umgrenzt der Bußgeldbescheid die Tat im prozessualen Sinne ausreichend (§ 41 Abs. 2 S. 1 BDSG, § 71 Abs. 1OWiG, § 264 StPO).

a) Gegenstand der Sanktionierung ist bei Art. 83 Abs. 4 bis 6 DS-GVO der Datenschutzverstoß als Erfolg und nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen. Dieser Datenschutzverstoß ist der Gegenstand des Bußgeldverfahrens. Für die Umgrenzung des Verfahrensgegenstands ist es daher nicht erforderlich, im Bußgeldbescheid anzugeben, welche natürlichen Personen eines Unternehmens den Datenschutzverstoß konkret begangen haben. Ausreichend ist, den Datenschutzverstoß zu individualisieren. Dies ist hier erfolgt.

b) Das deutsche Sanktionsrecht kennt eine solche unmittelbare Haftung von Unternehmen bislang nicht. Gem. § 30 Abs. 1 OWiG können Behörden zwar Geldbußen gegen juristische Personen oder Personenvereinigungen verhängen; die Geldbußen knüpfen jedoch stets an ein schuldhaftes Fehlverhalten natürlicher Personen an, für das erst auf der Rechtsfolgenseite – als sog. „Nebenbetroffene“ – die juristische Person oder Personenvereinigung einstehen muss. Für eine Geldbuße reicht dabei nicht das Verhalten irgendeines Mitarbeiters des Unternehmens, sondern nur das Verhalten ganz bestimmter Personen in Führungs- oder Aufsichtspositionen. Eine Geldbuße kann – zumindest im Grundsatz (vgl. § 31 Abs. 1 Nr. 5 OWiG) – nur gegen diejenige juristische Person oder Personenvereinigung verhängt werden, deren Organ oder Leitungsperson die Ordnungswidrigkeit begangen hat. Auf weitere Rechtsträger des Gesamtunternehmens – etwa weitere juristische Personen eines Konzerns – erstreckt sich die Bußgeldhaftung nicht.

c) Hingegen geht das supranationale europäische Kartellrecht bei Verstößen gegen Art. 101 und 102 AEUV von einer unmittelbaren Verantwortlichkeit der Unternehmen aus. Während nach § 30 Abs. 1 OWiG juristische Personen oder Personenvereinigungen für die Handlungen ihrer Leitungspersonen auf der Rechtsfolgenseite einzustehen haben, haftet nach dem supranationalen Kartellsanktionsrecht der Verband unmittelbar für den Verstoß, gleichgültig, welche natürliche Person für ihn gehandelt hat (unmittelbare Verbandshaftung). Eine Kenntnis oder gar Anweisung der Geschäftsführung oder die Verletzung der Aufsichtspflicht ist nicht erforderlich. Nach dem Funktionsträgerprinzip haftet das Unternehmen als funktionale Einheit. Hat ein Unternehmen mehrere Rechtsträger – wird etwa ein einheitliches Unternehmen von mehreren juristischen Personen getragen – kann gegen sämtliche Rechtsträger die Geldbuße verhängt werden. Die einzelnen Rechtsträger des Unternehmens sind nur als formale Adressaten der Sanktionsentscheidung, als Verfahrensbetroffene und als Adressaten der Vollstreckung relevant. Für die Unternehmensgeldbuße haften sie als Gesamtschuldner.

d) Ob bei der Verhängung von Geldbußen nach Art. 83 Abs. 4 bis 6 DS-GVO der § 30 Abs. 1 OWiG und das deutsche Rechtsträgerprinzip anzuwenden sind oder ob die Grundsätze des supranationalen Kartellsanktionsrechts zur Anwendung kommen, ist umstritten.

aa) Der deutsche Gesetzgeber hat diese Frage nicht eindeutig beantwortet: In § 41 Abs. 1 BDSG hat er angeordnet, dass für Verstöße nach Artikel 83 Abs. 4 bis 6 DS-GVO die materiell-rechtlichen Vorschriften des OWiG „sinngemäß“ gelten. Der Gesetzgeber hat den Anwendungsvorrang der DS-GVO zwar anerkannt, indem nur insoweit auf die Vorschriften des OWiG verwiesen wird, „soweit dieses Gesetz nichts anderes bestimmt“, was neben dem BDSG auch die DS-GVO erfasst. In § 41 Abs. 1 Satz 2 BDSG hat der Gesetzgeber allerdings bestimmte Vorschriften ausdrücklich von der Verweisung ausgenommen. § 30 OWiG wird dort entgegen der Anregung der Datenschutzkonferenz und entgegen der ersten Fassungen des Referentenentwurfs nicht ausgenommen. Daraus könnte der Schluss zu ziehen sein, der deutsche Gesetzgeber sei von einer Geltung des § 30 OWiG ausgegangen. Eine Begründung für diese Änderung des Referentenentwurfs fehlt indes.

bb) Das Bundesverwaltungsgericht der Republik Österreich hat in einer Entscheidung vom 19.08.2019, Az. W211 2208885- 1, eine dem § 30 OWiG vergleichbare Regelung in § 30 öDSG angewendet und einen Normenvorrang des Art. 83 Abs. 4 bis 6 DS-GVO damit verneint. Es hat das dortige Straferkenntnis (entspricht dem deutschen Bußgeldbescheid) aufgehoben und das Verfahren mangels Anknüpfung der Geldbuße an das Verhalten einer natürlichen Person eingestellt.

cc) Auch Teile des deutschen datenschutzrechtlichen Schrifttums gehen davon aus, dass Art. 83 Abs. 4 bis 6 DS-GVO die Frage der Zurechnung eines Datenschutzverstoßes zu einem Verband nicht selbst abschließend regele. Es sei Raum für eine Anwendung des Rechts der jeweiligen Mitgliedsstaaten. Nach dem deutschen Sanktionsrecht sei daher die konkrete Feststellung einer rechtswidrigen und schuldhaften Handlung einer Leitungsperson im Sinne von § 30 Abs. 1 OWiG erforderlich, um gegen den Verband eine Geldbuße zu verhängen (Vgl. Gola, DSGVO, 2. Aufl. 2018, Art. 83 Rn. 11; Schantz/Wolff, Das neue Datenschutzrecht, f. Durchsetzung des Datenschutzrechts Rn. 1134; Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil XIV. Straf- und Ordnungswidrigkeitenvorschriften im Bereich des betrieblichen Datenschutzes, Rn. 148; die Frage der Anwendbarkeit aufwerfend: Sydow, Europäische Datenschutzgrundverordnung, 2. Auflage 2018, Art. 83 Rn. 5).

dd) Der BfDI, die Landesdatenschutzbeauftragten und andere Vertreter der datenschutzrechtlichen Literatur gehen hingegen davon aus, dass für die Ordnungswidrigkeitentatbestände in Art. 83 Abs. 4 bis 6 DS GVO die Grundsätze des supranationalen Kartellrechts entsprechend gelten (Vgl. BeckOK, DatenschutzR/ Holländer, 33. Ed. 01.08.2020 DS-GVO Art. 83 Rn. 11, 21; Gola/ Heckmann/Ehmann, 13. Aufl. 2019, BDSG § 41 Rn. 20; Thiel (Interview) ZD 2020, 3 (3 f.); Bergt, DuD 2017, 555, 556; Kühling/ Buchner/Bergt, 3. Aufl. 2020 Rn. 20, DS-GVO Art. 83 Rn. 20; Ebner/Schmidt, CCZ 2020, 84; siehe auch Entschließung vom 03.04.2019 der 97. DSK „Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten“ und das Working Paper 253 der Artikel – 29 – Datenschutzgruppe vom 3. Oktober 2017, Seite 6).

e) Die letztgenannte Auffassung ist zutreffend.

aa) Der europäische Gesetzgeber hatte bei der Schaffung der Art. 83 Abs. 4 bis 6 DS-GVO ersichtlich das supranationale Kartellrecht zum Vorbild. Dies kommt etwa in Erwägungsgrund 150 zur DS-GVO zum Ausdruck, wenn es dort heißt, dass im Fall einer Geldbuße gegen Unternehmen der Begriff „Unternehmen“ i. S. d. Art. 101 und 102 AEUV verstanden werden solle, also i. S. d. EU-kartellrechtlichen Unternehmensbegriffs. Im Wortlaut der Bußgeldtatbestände in Art. 83 Abs. 4 bis 6 DS-GVO werden dementsprechend als Adressaten nur Verantwortliche und Auftragsverarbeiter (vgl. Art. 4 Nr. 7 und 8 DS-GVO) sowie die Zertifizierungsstelle im Fall des Abs. 4 Buchstabe b und die Überwachungsstelle im Fall des Abs. 4 Buchstabe c genannt. Die Verhängung einer Geldbuße knüpft dort nicht an eine schuldhafte Handlung der Organe oder Leitungspersonen juristischer Personen oder Personenvereinigungen an.

bb) Die Anknüpfung der Geldbuße an ein Fehlverhalten von Organen oder Leitungspersonen gem. § 30 OWiG lässt sich mit dem Haftungskonzept nach EU-kartellrechtlichem Vorbild und dem Funktionsträgerprinzip nicht sinnvoll in Einklang bringen (vgl. Bergt, in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, § 41 BDSG Rn. 7: „im Ansatz für ein originäres Unternehmenssanktionsrecht unpassende[r] § 30 OWiG“). Die Anwendung von § 30 OWiG würde gegenüber dem europäischen Haftungsmodell zu einer erheblichen Einschränkung der Bußgeldverhängung gegen Unternehmen führen, wenn trotz Feststehens eines Datenschutzverstoßes die internen Verantwortlichkeiten aufzuklären wären. Wären § 30 OWiG und vergleichbare Vorschriften anderer Mitgliedstaaten uneingeschränkt anwendbar, so würden in den Mitgliedstaaten der EU jeweils unterschiedliche Regelungen gelten oder wären zumindest möglich. Da die Sanktionierung von Ordnungsverstößen von Verbänden in den Mitgliedsstaaten der EU auf ganz unterschiedlichen Rechts traditionen beruht, hätte die Anreicherung der Art. 83 Abs. 4 bis 6 DS-GVO durch nationale Haftungs- und Zurechnungsvorschriften zur Folge, dass die Sanktionierung von Unternehmen nach Art. 83 Abs. 4 bis 6 DS-GVO von Mitgliedstaat zu Mitgliedstaat nicht unerheblich divergieren würde. Dies beträfe nicht nur die materiell-rechtliche Reichweite der Bußgeldhaftung von Unternehmen, sondern auch die Effektivität des Verfahrens, etwa in Deutschland durch die Notwendigkeit sehr aufwändiger Ermittlungen von internen Unternehmensstrukturen und Verantwortlichkeiten. Es bestünde die naheliegende Gefahr einer europaweit deutlich unterschiedlichen Sanktionierungspraxis.

Aus den Erwägungsgründen zur DS-GVO ergibt sich, dass dies der europäische Gesetzgeber nicht gewollt hat. Im Gegenteil sind die gleichmäßige Rechtsanwendung und eine einheitliche sowie insbesondere auch effektive Sanktionierung von Datenschutzverstoßen von Unternehmen gerade eines der Grundanliegen bei der Schaffung der DS-GVO gewesen:

– Aus Erwägung 9 ergibt sich, dass die DS-GVO gegenüber der Datenschutzrichtlinie 95/46/EG eine solidere Grundlage für Einheitlichkeit schaffen sollte, da sie in den Mitgliedstaaten direkt anwendbar ist.

– Nach Erwägung 10 sollte die Verordnung ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union beseitigen. Daher sollte das Schutzniveau in allen Mitgliedstaaten gleichwertig sein.

– Erwägung 11 zur Verordnung befasst sich mit dem Umstand, dass ein unionsweit gleichwertiges Schutzniveau für personenbezogene Daten unter anderem „gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung“ erfordert.

– In Erwägung 13 zur Verordnung werden gleichwertige Sanktionen in allen Mitgliedstaaten und eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden verschiedener Mitgliedstaaten als Notwendigkeit dafür angesehen, dass „Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden“.

– In Erwägung 129 zur Verordnung wird nochmals hervorgehoben, dass eine einheitliche Überwachung und Durchsetzung der Verordnung in der gesamten Union sicherzustellen ist, wozu die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben sollten.

– Nach Erwägung 148 zur Verordnung sollen im Interesse einer konsequenteren Durchsetzung der Vorschriften der Verordnung bei Verstößen zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden.

Auch wenn den Erwägungsgründen zur DS-GVO keine Rechtsnormqualität zukommt, haben die Gerichte diesen bei der Auslegung der Art. 83 Abs. 4 bis 6 DS-GVO Rechnung zu tragen. Dies führt vorliegend dazu, dass für eine Einschränkung der Haftung durch Beschränkung auf individuelles Fehlverhalten von Leitungspersonen gem. § 30 OWiG kein Raum ist. Könnten die Mitgliedsstaaten die Bußgeldtatbestände in Art. 83 Abs. 4 bis 6 DS-GVO durch die Anwendung eigener Rechtsvorschriften einschränken, wären zentrale Ziele – Vereinheitlichung sowie gleichmäßige und effektive Sanktionierung auf der Grundlage europaweit einheitlicher Vorschriften – gefährdet.

cc) Etwas anderes ergibt sich auch nicht daraus, dass der europäische Gesetzgeber in Art. 83 Abs. 8 DS-GVO für die Gewährleistung angemessener Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ auch auf das Recht der Mitgliedstaaten verweist. Der Inhalt dieser Vorschrift, insbesondere als nationale Regelungsbefugnis, ist im Lichte des europarechtlichen Effektivitätsgebots („effet utile“, st. Rspr. EuGH, vgl. Rechtssache C-6/90 u. 9/90, NJW 1992, 165, Rn 32 m.w.N.) auszulegen. In Ermangelung eines europäischen Bußgeldverfahrensrechts darf auf das nationale Bußgeldverfahren nur insoweit zurückgegriffen werden, als damit die effektive Durchsetzung und praktische Wirksamkeit der DS-GVO gewährleistet bleiben. Art. 83 Abs. 8 DS-GVO bezieht sich zudem nur auf das Bußgeldverfahren. Nur insoweit bestehen nationale Regelungskompetenzen. In Grenzbereichen zwischen Verfahrensrecht und materiellem Recht können daher – wenn überhaupt – allenfalls einzelne materiell-rechtliche Vorschriften aus dem nationalen Recht angewendet werden, sofern das nationale Verfahrensrecht die Anwendung erfordert. Diese materiellrechtlichen Vorschriften können aber erst recht nur solche sein, die einer effektiven bußgeldrechtlichen Ahndung nicht entgegenstehen. Eine Einschränkung und Schwächung des unionsrechtlichen Haftungsmodells durch Vorschriften wie in § 30 Abs. 1 OWiG ist von Art. 83 Abs. 8 DS-GVO nicht gedeckt.

V. Die Betroffene hat als Datenverantwortliche schuldhaft gegen Art. 32 Abs. 1 DS-GVO verstoßen und ist daher einer Ordnungswidrigkeit nach Art. 83 Abs. 4 Buchstabe a) DS-GVO schuldig.

1. Gem. Art. 32 Abs. 1 S. 1 DS-GVO haben Datenverantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, um den mit der Datenverarbeitung einhergehenden Risiken für die Rechte und Freiheiten natürlicher Personen zu begegnen. Das zu gewährleistende Schutzniveau muss angemessen sein. Bei der Beurteilung, was angemessen ist, sind der Stand der Technik, die Implementierungskosten und Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Zu den Risiken, denen der Datenverantwortliche zu begegnen hat, gehören nach Art. 32 Abs. 2 DS-GVO das Risiko der unbefugten Offenbarung personenbezogener Daten und der unbefugte Zugang zu personenbezogenen Daten.

2. Gegen diese Vorgaben hat die Betroffene verstoßen, indem sie es im Regelfall in ihren Callcentern ausreichen ließ, dass durch die Callcenter-Agenten zur Authentifizierung des Anrufers Name und Geburtsdatum abgefragt wurden. Dies genügte sogar, wenn erkennbar nicht der Kunde selbst, sondern ein Dritter für diesen anrief. Eine solche Authentifizierung gewährleistete unter Berücksichtigung der Kriterien des Art. 32 Abs. 1 DS-GVO keinen ausreichenden Schutz der für die Callcenter-Agenten einsehbaren Kundendaten vor der Preisgabe an unberechtigte Anrufer.

a) Die Kommunikation über ein Callcenter ist weitgehend anonym. In der Regel kennen sich der Anrufer und der CallcenterAgent nicht persönlich. Soweit es um Vertragsangelegenheiten geht und der Callcenter-Agent für die Bearbeitung des Anrufs auf Kundendaten zurückgreifen muss, muss er den Kunden zunächst identifizieren. Soweit bei dem Anruf personenbezogene Daten an den Anrufer preisgegeben werden, muss zudem sichergestellt werden, dass es sich bei dem Anrufer tatsächlich um den Kunden oder einen für diesen berechtigt auftretenden Dritten handelt. Es bedarf daher einer sicheren Methode zur Authentifizierung des Anrufers als an den Daten Berechtigten.

b) Für die Authentifizierung des Anrufers stehen verschiedene Methoden zur Verfügung, die eine unterschiedliche Sicherheit gewährleisten. Zur Auswahl der Methode ist eine Ermittlung und Bewertung der spezifischen Risiken auf der Grundlage der Eintrittswahrscheinlichkeit und der Schwere nachteiliger Folgen für die betroffenen natürlichen Personen durchzuführen. Je sensibler die Daten, je gravierender die möglichen Folgen der unbefugten Datenpreisgabe und je wahrscheinlicher solche Folgen sind, desto höher sind die Anforderungen an ihren Schutz.

c) Die Callcenter-Agenten der Betroffenen hatten keinen Zugriff auf besonders sensible Daten im Sinne von Art. 9 Abs. 1 DS-GVO, die besonders zu schützen sind, weil sie höchstpersönlichen bzw. identitätsstiftenden Charakter haben und ihnen deswegen von vornherein ein hohes Schadens- und Diskriminierungspotential innewohnt (vgl. BeckOK, DatenschutzR/Albers/ Veit, 33. Ed. 1.5.2020, DS-GVO Art. 9 Rn. 17, Paal/Pauly/Frenzel, 2. Aufl. 2018, DS-GVO Art. 9 Rn. 6). Dies sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Um solche Daten handelte es sich weder unmittelbar, noch ließen sich aus den für die Callcenter-Agenten verfügbaren Daten Rückschlüsse auf solche Daten ziehen.

d) Auch die Risiken für Rechte und Freiheiten natürlicher Personen, die in Erwägung 75 zur DS-GVO besonders hervorgehoben werden (Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung etc.), standen vorliegend nicht im Vordergrund. Dies gilt auch, soweit dort Daten betreffend die wirtschaftliche Lage und die Zuverlässigkeit erwähnt sind. Zwar war es den Callcenter-Agenten möglich, in der Z einzusehen, ob Anschlüsse wegen ausstehender Forderungen gesperrt sind, was Rückschlüsse auf die wirtschaftliche Lage des Kunden erlauben kann. Ungeachtet des Umstandes, dass auch andere Gründe dahinter stehen können als Zahlungsschwierigkeiten, hat Erwägungsgrund 75 den Anwendungsfall im Blick, dass die genannten Aspekte bewertet, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen. Dies erfolgte vorliegend jedoch nicht.

e) Betroffen waren nur wenig sensible Daten, allgemeine Kontaktdaten (Adresse, Telefonnummer und E-Mail-Adresse) sowie die Bankverbindung. Dabei handelt es sich um Daten, die üblicherweise bei Vertragsschlüssen, bei behördlichen Vorgängen oder aus sonstigen Gründen Dritten zur Verfügung gestellt werden. Daneben waren die Vertrags- und Rechnungsdaten sowie die Kundenkorrespondenz in der Z gespeichert und daher vom Callcenter-Agenten einsehbar, also Daten, die unmittelbar aus dem Vertragsverhältnis mit der Betroffenen stammen und an deren Kenntnisnahme Dritte im Regelfall kein Interesse haben.

f) Die Wahrscheinlichkeit, dass Dritte über das Callcenter der Betroffenen versuchen würden, unberechtigt diese Daten in Erfahrung zu bringen, war dementsprechend gering. Ein massenweiser Zugriff auf die Daten einer Vielzahl von Kunden der Betroffenen durch Einsatz entsprechender Software war über die Kontaktaufnahme mittels Callcenter nicht zu erwarten. Zur Preisgabe der Informationen bzgl. eines Kunden musste der Callcenter-Agent jeweils durch eine geschickte Gesprächsführung überhaupt erst einmal veranlasst werden. Im Vordergrund stand also die Gefahr eines Angriffs auf die Daten individueller Kunden. Insbesondere bestand das Risiko, dass Dritte aus persönlichen Motiven heraus versuchen würden, über das Callcenter Informationen über eine ihnen bekannte Person in Erfahrungen zu bringen.

g) Das Risiko für die Rechte und Freiheiten bestimmter natürlicher Personen ist indes derart erheblich, dass die Daten wirksam geschützt werden mussten.

Gefährdet waren etwa Personen, bei denen ganz allgemein die Gefahr einer unerwünschten Kontaktaufnahme besteht, beispielsweise Personen des öffentlichen Lebens. Es geht aber insbesondere auch um Personen, bei denen ein reelles Risiko besteht, dass sie Opfer von Straftaten werden, sei es durch Nachstellung („Stalking“), Bedrohung oder Freiheitsberaubung. Jenseits dieser persönlichen Gefahren besteht auch stets das Risiko einer Schädigung durch unberechtigten Datengebrauch. So ist denkbar, dass Betrüger über das Callcenter persönliche Informationen, etwa die letzten vier Ziffern der IBAN eines Kunden, in Erfahrung bringen, um diese Daten an anderer – schadensträchtiger – Stelle wiederum zur Authentifizierung zu verwenden. Die insoweit drohenden Gefahren reichen über den Bereich des Lästigen hinaus. Es sind im Einzelfall gravierende materielle und insbesondere immaterielle Schäden denkbar.

Das Risiko, Opfer eines Datenmissbrauchs durch Dritte zu werden, bestand zwar relativ betrachtet nur für einen geringen Anteil der Kunden von K X. Aufgrund der #,# Millionen Kunden war dies jedoch eine durchaus relevante absolute Anzahl. Da K X zudem zu den fünf größten Telekommunikationsdienstleistern in Deutschland gehört und nahezu jeder Erwachsene einen Festnetz- und/oder Mobilfunkanschluss hat, musste ein Dritter auch nicht notwendig wissen, dass das avisierte Opfer Kunde von K ist. Es bestand eine realistische Chance durch „Abtelefonieren“ der großen Telekommunikationsunternehmen bei der Betroffenen an die gewünschten Kontaktdaten zu gelangen. Dies unterscheidet die Risikolage für die bei der Betroffenen verarbeiteten Daten von denjenigen kleinerer regionaler Telekommunikationsunternehmen oder denen anderer Branchen.

h) Das zur Tatzeit angewendete Authentifizierungsverfahren der Betroffenen durch Abfrage von Name und Geburtsdatum trug den dargelegten Risiken nicht ausreichend Rechnung.

aa) Name und Geburtsdatum des Kunden stehen einem unüberschaubar großen Personenkreis zur Verfügung. Sie sind im Familien-, Bekannten- und Kollegenkreis vielfach bekannt oder verfügbar. Bei vielen Personen sind Name und Geburtsdatum darüber hinaus auch einfach zu ermitteln, beispielsweise im Internet zu finden, etwa bei Prominenten über C2 oder über soziale Netzwerke wie etwa Y2. Da Name und Geburtsdatum daher nicht nur im Wissens- oder Zugriffsbereich des Kunden stehen, ist das Erfragen dieser Informationen nicht ausreichend, um sicherzustellen, dass der Anrufende der im System erfasste Vertragspartner ist.

bb) Erst recht sind die Daten ungeeignet, eine Vermutung für eine Berechtigung/ Vertretungsmacht des Anrufenden zu begründen, wenn Anrufender und Kunde erkennbar personenverschieden sind, weil ein Dritter im Namen des Kunden anruft. Dass andere Personen Kenntnis von Namen und Geburtsdatum des Kunden haben, impliziert schon nicht, dass diesen die Informationen bewusst preisgegeben wurden, und selbst eine bewusste Weitergabe des Geburtsdatums beinhaltet – auch im Familien- und Freundeskreis – keine Erteilung einer Vertretungsmacht. Die Betroffene hatte aus ihrer vertraglichen Beziehung zum Kunden heraus auch keinerlei Informationen über die jeweiligen familiären Verhältnisse, weswegen es den Agenten im Callcenter nicht möglich war, zu verifizieren, ob der behauptete Angehörige nach der Familienstruktur des Kunden überhaupt existiert. Durch die Möglichkeit von Anrufen durch Dritte war die Gefahr eines Missbrauch zudem erhöht, weil es diesen besonders leicht möglich war, durch das Vorgeben von Wissenslücken und Unsicherheiten den Callcenter-Agenten zur Preisgabe der hinterlegten Informationen zu veranlassen, ohne bei diesen damit einen Missbrauchsverdacht zu erregen.

i) Der Betroffenen wäre es ohne nennenswerten Aufwand möglich gewesen, den Sicherheitsstandard zu erhöhen. Bereits durch das zusätzliche Abfragen von Spezialwissen, etwa der Kunden- oder Rechnungsnummer, wäre die Annahme, dass der Anrufende tatsächlich der Kunde oder ein Berechtigter ist, belastbarer gewesen. Denn auf diese Daten haben regelmäßig nur der Kunde selbst oder sein nahes Umfeld Zugriff. Der Kreis derjenigen, die sich unberechtigt beim Callcenter authentifizieren konnten, wäre damit bereits erheblich verkleinert worden. Da diese Daten für die Callcenter-Agenten bereits seinerzeit einsehbar waren, hätte es lediglich einer Information der Callcenter-Agenten und einer Überarbeitung der entsprechenden Schulungsunterlagen oder Schulungen bedurft, um das Schutzniveau zu erhöhen. Dies wäre mit einem einmaligen und äußerst geringen finanziellen Aufwand möglich gewesen.

a) Bei der Betroffenen kannte man das konkrete Schutzniveau im Callcenter und unterlag keiner Fehlvorstellung in tatsächlicher Hinsicht. Im Sinne einer Tatsachenkenntnis handelte das Unternehmen K X vorsätzlich. Indes geht die Kammer nicht davon aus, dass die zuständigen Mitarbeiter des Unternehmens sich der Zuwiderhandlung gegen Art. 32 DS-GVO oder deren Möglichkeit bewusst waren. Denn in der Vergangenheit hatte es keine Beanstandungen durch Aufsichtsbehörden oder Dritte gegeben. Ein Missbrauch ihrer Callcenter war K X auch nicht bekannt geworden. Zudem waren in Fachzeitschriften oder Büchern zum Datenschutzrecht die Anforderungen an die Authentifizierung im Callcenter nicht näher behandelt worden.

b) Der darin liegende Verbotsirrtum und damit der Datenschutzverstoß waren für das Unternehmen K X jedoch vermeidbar.

aa) Bei einem Telekommunikationsunternehmen wie der Betroffenen ist das Callcenter für den persönlichen Kontakt mit dem Kunden die primäre Anlaufstelle. Es ist daher erforderlich, das Datenschutzniveau im Bereich des Callcenters anlassbezogen und zudem in regelmäßigen Abständen auf den Prüfstand zu stellen. Dies ergibt sich bereits daraus, dass das Datenschutzrecht nicht statisch ist, sondern sich der Stand der Technik auch und gerade im Hinblick auf neue Risiken fortentwickelt. In Art. 32 Abs. 1 d) DS-GVO wird dementsprechend nunmehr auch ausdrücklich eine regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung verlangt. Erst recht gab die Reform des europäischen Datenschutzrechtes durch die Einführung der DSGVO Anlass, die Datenverarbeitungsprozesse auf Konformität mit dem neuen Gesetz zu überprüfen. Dafür stand eine fast zweijährige Übergangsphase zur Verfügung. Im Zuge dessen hätte die Betroffene überprüfen müssen, ob das Datenschutzniveau im Callcenter ausreichend ist oder ob Anpassungs- und Nachbesserungsbedarf besteht. Die Authentifizierung von Anrufern war dabei eine der zentralen Fragestellungen.

bb) Die Übergangsphase zur Einführung der DS-GVO hat K X nicht genutzt. Bei einer entsprechenden Überprüfung hätte das Unternehmen die gleichen Erwägungen anstellen müssen wie die Kammer. Eine ähnlich gewissenhafte Prüfung anhand der Kriterien des Art. 32 DS-GVO hätte zu dem Ergebnis geführt, dass der Authentifizierungsprozess nachzubessern ist. Die hierfür notwendige Sachkunde bestand auf Seiten von K X. Das Unternehmen verfügt über eine eigene Rechtsabteilung, ist als Telekommunikationsunternehmen täglich mit Fragen des Datenschutzes befasst und muss in diesem Bereich besondere Kompetenzen haben. Wären Zweifel verblieben, hätte der BfDI als zuständige Aufsichtsbehörde zur Verfügung gestanden, um die Zweifelsfragen verlässlich zu klären. Der Verstoß wäre dadurch vermieden worden.

V. Bei der Bußgeldbemessung hat sich die Kammer von folgenden Erwägungen leiten lassen:

1. Der Bußgeldrahmen ist Art. 83 Abs. 4 DS-GVO zu entnehmen. Gem. dessen Buchstabe a) kann bei einem Verstoß gegen Art. 32 DS-GVO eine Geldbuße von bis zu 10 Millionen Euro verhängt werden. Im Fall eines Unternehmens ist zudem eine Geldbuße von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich, falls dieser Betrag höher ist.

a) Dabei ist nach dem Erwägungsgrund 150 zur DS-GVO der funktionale Unternehmensbegriff des europäischen Kartellrechts in Art. 101 und 102 AEUV zugrunde zu legen. Daher kommt es bei der Bestimmung der Obergrenze einer möglichen Geldbuße auf den Gesamtumsatz des K X Konzerns als Unternehmen im funktionalen Sinne und nicht auf den Umsatz der K C GmbH als formaler Bußgeldadressatin an.

In der deutschen Sprachfassung der DS-GVO scheint dieser Auslegung der Art. 4 Nr. 18 DS-GVO entgegen zu stehen. Dort wird der Begriff „Unternehmen“ dahin legal definiert, dass es sich um die natürliche oder juristische Person handele, die eine wirtschaftliche Tätigkeit ausübt. Diese Definition des Begriffs „Unternehmen“ im Sinne des einzelnen Rechtsträgers ist für Art. 83 DS-GVO nicht einschlägig. Dies zeigt ein Vergleich mit anderen Sprachfassungen. In der englischen Sprachfassung wird in Art. 4 Nr. 18 das Unternehmen als „enterprise“ legal definiert und in Art. 83 Abs. 5 mit „undertaking“ ein anderer Begriff verwendet, der mit dem englischsprachigen Erwägungsgrund 150 übereinstimmt. Auch im Bulgarischen, Dänischen, Gälischen, Kroatischen und Slowenischen wird bei Art. 83 DS-GVO nicht auf den legaldefinierten Begriff des Unternehmens aus Art. 4 Nr. 18 zurückgegriffen (vgl. hierzu weitergehend BeckOK Daten schutzR/Holländer, 32. Ed. 1.11.2019, DS-GVO Art. 83 Rn. 13- 13.3; Cornelius, Die „datenschutzrechtliche Einheit“ als Grundlage des bußgeldrechtlichen Unternehmensbegriff nach der EU-DS-GVO, NZWiSt 2016, 421, 423f). Daraus ergibt sich, dass der Verordnungsgeber im hiesigen Kontext den Begriff des Unternehmens im Sinne des Erwägungsgrundes 150 versteht.

b) Die Frage, an welches Ereignis das vorangegangene Geschäftsjahr anknüpft, dessen Umsatz die Obergrenze der möglichen Geldbuße bestimmt, ist nicht ausdrücklich geregelt.

Nach der Rechtsprechung des EuGH im Kartellrecht zu dem nahezu gleichlautenden Art. 23 VO Nr. 1 / 2003 ist der Bezugszeitraum das der Sanktionsverhängung vorausgegangene Geschäftsjahr (EuGH, Urteil vom 26. Januar 2017 – C-637/13 P – Badezimmerkartell Laufen Austria, Rn. 49; EuGH, Urteil vom 04. September 2014 – C-408/12 P – YKK u.a. Rn. 90).

Da Art. 83 DS-GVO die kartellrechtliche Regelung zum Vorbild hat, ist mithin die Höhe des Jahresumsatzes im letzten abgeschlossenen Geschäftsjahr vor Erlass des Bußgeldbescheides maßgebend. Auf den Zeitpunkt der gerichtlichen Entscheidung kommt es ebenso wenig an wie auf den Zeitpunkt des maßgeblichen Verstoßes.

Da der Bußgeldbescheid am 27.11.2019 erlassen wurde, ist mithin der Jahresumsatz für 2018 maßgebend. Auf der Grundlage eines Umsatzes für 2018 von 3,63 Milliarden Euro ergibt sich daraus eine zweiprozentige Obergrenze für die Geldbuße von 72,6 Millionen Euro. Da dieser Betrag höher ist als die alternativ in Art. 83 Abs. 4 DS-GVO genannten 10 Millionen Euro, ist diese Obergrenze zugrunde zu legen.

2. Bei der Bemessung der Geldbuße innerhalb dieses Bußgeldrahmens war für die Kammer folgendes maßgebend:

a) Nach Art. 83 Abs. 1 DS-GVO stellt jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. In Art. 83 Abs. 2 S. 2 DS-GVO sind Zumessungskriterien aufgeführt, die bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall „gebührend“ zu berücksichtigen sind. Relevant sind danach insbesondere Art, Schwere und Dauer des Verstoßes, die Zahl der von der Verarbeitung betroffenen Personen, das Ausmaß des Schadens, die Kategorie der betroffenen personenbezogenen Daten, das Bemühen des Unternehmens, den Schaden zu begrenzen, Art und Umfang der Kooperation mit den Datenschutzbehörden und der Grad der Verantwortlichkeit.

Der Umsatz des Unternehmens ist in Art. 83 Abs. 2 S. 2 DSGVO nicht als Zumessungsgesichtspunkt genannt. Daraus folgt nicht, dass dem Umsatz des Unternehmens bei der Bemessung der Geldbuße keine Bedeutung zukommt. Zum einen bestimmt der Umsatz bei umsatzstarken Unternehmen die Bußgeldobergrenze und spannt dadurch erst den Rahmen auf, in den der konkrete Datenschutzverstoß einzuordnen und einzupassen ist. Der Bußgeldrahmen gibt der konkreten Zumessung die notwendige Orientierung. Zum anderen müssen Geldbußen gegen Unternehmen gem. Art. 83 Abs. 1 DS-GVO wirksam und abschreckend sein. Dies richtet sich auch nach der Ahndungsempfindlichkeit des jeweiligen Unternehmens. Je größer das Unternehmen ist, desto geringer ist regelmäßig die Ahndungsempfindlichkeit und desto höher ist im Regelfall das Bußgeld zu bemessen, damit es seine spezialpräventive Wirkung entfalten kann. Die Höhe des Umsatzes ist für die Unternehmensgröße und damit für die Ahnungsempfindlichkeit ein geeigneter Indikator; der Bilanzgewinn und sonstige Kennzahlen der wirtschaftlichen Leistungsfähigkeit des Unternehmens können zusätzlich berücksichtigt werden.

b) Es darf jedoch nicht aus dem Blick geraten, dass die DSGVO in Art. 83 Abs. 2 S. 2 in erster Linie tatbezogene Gesichtspunkte für die Bemessung aufführt. Eine Bemessung des Bußgeldes durch Ermittlung eines sich nach dem Umsatz richtenden Grundwertes für das Bußgeld, welcher je nach Schwere des Datenschutzverstoßes mit einem Faktor multipliziert wird, ist aus diesem Grund und wegen der damit einhergehenden Fokussierung auf den Unternehmensumsatz problematisch. Einen solchen Ansatz hat der BfDI in Anlehnung an das Bußgeldkonzept der Datenschutzkonferenz vom 19.10.2019 bei der Bußgeldbemessung verfolgt. Eine solche Bemessungsmethode mag bei Datenschutzverstößen von mittlerem Gewicht zu angemessenen Ergebnissen führen. Sie versagt jedoch bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen, also in denjenigen Fällen, in denen eine maßgeblich am Umsatz orientierte Zumessung in Widerstreit gerät zu der Zumessung anhand der Kriterien in Art. 83 Abs. 2 S. 2 DS-GVO. Hier haben die tatbezogenen Zumessungsgesichtspunkte in Art. 83 Abs. 2 S. 2 DS-GVO Vorrang. Der Umsatzhöhe kommt zwar weiterhin Bedeutung zu. Im Verhältnis zur Tatschuld verliert der Umsatz jedoch umso mehr an Bedeutung, desto eindeutiger die Bewertung der Schwere des Datenschutzverstoßes anhand der tatbezogenen Umstände in die eine oder andere Richtung ausfällt.

c) Für schwere Datenschutzverstöße umsatzschwacher Unternehmen ergibt sich dies aus Art. 83 Abs. 4 DS-GVO selbst. Dieser enthält gerade keine allgemein am Umsatz orientierte Bußgeldobergrenze. Vielmehr ist eine Obergrenze von 10 Millionen Euro vorgesehen, die bei sehr umsatzstarken Unternehmen erhöht wird. Der europäische Gesetzgeber ermöglicht es daher den Aufsichtsbehörden und Gerichten, bei schweren Datenschutzverstößen auch gegen umsatzschwache Unternehmen hohe, gegebenenfalls auch existenzbedrohende Geldbußen zu verhängen.

d) Bei gering gewichtigen Datenschutzverstößen umsatzstarker Unternehmen ist eine maßgebliche Orientierung am Umsatz bei der Zumessung der Geldbuße in gleicher Weise nicht sachgerecht. Eine Geldbuße muss gem. Art. 83 Abs. 1 DS-GVO zwar wirksam und abschreckend sein. Beide Gesichtspunkte verlieren bei Datenschutzverstößen von geringem Gewicht aber an Bedeutung. Zudem muss die Geldbuße nach Art. 83 Abs. 1 DS-GVO stets auch verhältnismäßig sein. Mit anderen Worten: Die Geldbuße muss spürbar sein; sie darf jedoch nicht als unangemessene Härte im Sinne einer überzogenen Reaktion auf den konkreten Verstoß erscheinen.

e) Bei dem Verstoß der Betroffenen gegen Art. 32 DS-GVO handelt es sich um einen Datenschutzverstoß mit einem deutlichen Überwiegen mildernder Gesichtspunkte. Denn es ist zu berücksichtigt, dass

– keine sensiblen Daten betroffen waren;

– es nur in dem einen Fall nachweisbar zu der Schädigung eines Kunden gekommen ist, wobei allerdings relativierend zu berücksichtigen ist, dass Fälle eines Datendiebstahls über das Callcenters nicht stets bekannt werden;

– K nicht absichtlich, bewusst oder auch nur bedingt vorsätzlich gegen das Datenschutzrecht verstoßen hat;

– man vielmehr davon ausgegangen ist, dass der Authentifizierungsprozess gesetzeskonform ist, auch wenn diese Fehlvorstellung vermeidbar war;

– es keine Vorgaben für die Authentifizierung in Callcentern gab;

– ein niedriges Sicherheitsniveau auch deswegen bestand, damit die Kunden ohne größere Hindernisse mit dem Callcenter in Kontakt treten konnten; – die Betroffene umfassend mit dem BfDI kooperiert hat und unverzüglich das Schutzniveau des Authentifizierungsprozesses erhöht und in Abstimmung mit dem BfDI letztendlich eine Service-PIN eingeführt hat;

– gegen K erstmals wegen eines Datenschutzverstoßes eine Geldbuße verhängt wird.

Zwar waren abstrakt #,# Millionen Kundendaten von K betroffen. Es drohte jedoch kein Massendiebstahl von Kundendaten, sondern die Daten konnten von Angreifern nur im Einzelfall durch eine geschickte Gesprächsführung über das Callcenter in Erfahrung gebracht werden. Im Vordergrund standen dabei persönliche Motive. Real drohten nur einer geringen, wenn auch angesichts der Größe des Kundenstamms von K relevanten Anzahl von Kunden durch die schwache Authentifizierung Nachteile.

Auch ist zu berücksichtigen, dass durch den öffentlichkeitswirksamen Erlass des Bußgeldbescheides ein Reputationsschaden bei K eingetreten ist. Aufgrund der Höhe des zunächst verhängten Bußgeldes ist in der Öffentlichkeit der Eindruck entstanden, als handele es sich um einen – auch und gerade was das Verschulden anbelangt – gewichtigen Datenschutzverstoß. Dies ist indes nicht der Fall.

Unter umfassender Abwägung aller zumessungserheblichen Umstände hat die Kammer trotz des hohen Bußgeldrahmens eine gegenüber dem Bußgeldbescheid deutlich geringere Geldbuße in Höhe von 900.000 Euro als tat- und schuldangemessen angesehen. Diese ist wirksam, verhältnismäßig und bei Kenntnis der vielen mildernden Gesichtspunkte auch ausreichend abschreckend.