Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) hat gegen 1&1 ein Bußgeld in Höhe von 900.000,00 Euro verhängt. Das Unternehmen hatte zur Authentifizierung eines Kunden nur den Namen und das Geburtsdatum abgefragt und so zu Unrecht eine Telefonnummer herausgegeben.
Hintergrund
Bei telefonischen Anfragen dürfen zur Identifizierung nicht nur Daten wie das Geburtsdatum und die Anschrift abgefragt werden. Diese stellen kein geheimes Wissen dar. Daher sollten auch noch zusätzliche Informationen angefordert werden, welche nur der Betroffene kennt.
Zum damaligen Zeitpunkt entsprach die bloße Abfrage von Namen und Geburtsdatum wohl der überwiegenden Praxis. Sogar die Aufsichtsbehörde in Baten-Württemberg schreibt hierzu in ihrem Hinweis:
„Bei telefonischen Anfragen ist es – auch in anderen Kontexten, bspw. bei Fragen zu Verträgen – gängige Praxis, dass der Verantwortliche von der betroffenen Person zusätzliche Informationen abfragt, um sicherzugehen, dass es sich tatsächlich um die richtige Person handelt. Typischerweise handelt es sich dabei um Daten wie Geburtsdatum und Anschrift der betroffenen Person.“
Entscheidung der Aufsichtsbehörde
Die zuständige Aufsichtsbehörde sah aufgrund dieses Verstoßes sogar ein Bußgeld von 9,55 Millionen Euro als angemessen an. Die Aufsichtsbehörden haben sich auf ein einheitliches Konzept zur Bußgeldzumessung, welches nun unter https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf abrufbar ist. Hiernach werden Unternehmen anhand ihres Umsatzes in Größenklassen eingeteilt.
Gericht kippt Bußgeldkonzept
Das Landgericht Bonn ist diesem stark umsatzbezogenen Ansatz nicht gefolgt.
In meinem Beitrag auf https://rechtsanwalt-harzewski.de lesen Sie mehr zur Entscheidung.
Das Bußgeldkonzept kann meiner Auffassung nach daher in der jetzigen Form nicht mehr angewendet werden.