„1&1 muss 10 Mio. EUR Bußgeld zahlen” – so oder so ähnlich lauteten zahlreiche Medienberichte Anfang Dezember 2019. Der Bundesdatenschutzbeauftragte hatte gegen die 1&1 Telecommunication SE eine Geldbuße von rund 10 Mio. EUR verhängt. Das Unternehmen 1&1 ist Teil des Konzerns United Internet, zu dem u.a. auch Web.de, GMX, Sedo und Strato gehören – es hat hier also definitiv einen „dicken Fisch” getroffen. Kurze Anmerkung am Rande: Dieses Bußgeld ist keineswegs das höchste bislang in Deutschland verhängte, aber Platz 4 ist auch nicht übel. Die Deutsche Wohnen SE (14,5 Mio. EUR) und die H&M Hennes & Mauritz Online Shop A.B. & Co. KG (rund 36 Mio. EUR) hat es bis dato jeweils noch schlimmer getroffen, die notebooksbilliger.de AG liegt mit 10,4 Mio. EUR im gleichen Bereich (wer mehr dazu erfahren will, wird in den diversen Datenbanken und Übersichten fündig, die es mittlerweile online gibt, z.B. unter www.dsgvo-portal.de ).
Der Vorwurf gegen 1&1 lautete: Das Unternehmen habe keine hinreichenden technischen und organisatorischen Maßnahmen (die sog. TOM) ergriffen, um die personenbezogenen Daten ihrer Kunden angemessen zu schützen. Bei einem Kontakt via Telefon wurden seitens 1&1 lediglich Name und Geburtsdatum abgefragt, um die Identität des Anrufers zu verifizieren und diesen so als Auskunftsberechtigten einzustufen. Dies genügte der Aufsichtsbehörde nicht, es sei zu einfach gewesen, weitreichende Informationen zu weiteren personenbezogenen Kundendaten zu erhalten. Die Geldbuße für diesen Verstoß gegen Art. 32 DSGVO liege mit knapp 10 Mio. EUR noch im unteren Bereich des möglichen Sanktionsrahmens, so der Bundesdatenschutzbeauftragte. Grundlage dafür war ein erst kurz zuvor, nämlich Mitte Oktober 2019, veröffentlichtes Konzept zur Bußgeldzumessung, auf welches sich die deutschen Datenschutzaufsichtsbehörden im Rahmen der Datenschutzkonferenz (DSK) geeinigt hatten. 1&1 legte Widerspruch gegen den Bußgeldbescheid ein, sodass der Rechtsstreit letztendlich vor dem LG Bonn weitergeführt wurde (Urt. v. 11.11.2020 – 29 OWi 1/20). Das Gericht bestätigte grds. den Verstoß gegen das Datenschutzrecht und damit die Geldbuße, reduzierte den ursprünglichen Betrag jedoch auf rund 900.000 EUR (sic!). Das hatte u.a. zur Folge, dass 1&1 auf Platz 5 der Top-Bußgelder abgerutscht ist, denn die AOK Baden-Württemberg hat sich mit rund 1,2 Mio. EUR vorbeigedrängelt.
Achtung: Jetzt folgt ein thematischer Sprung – allerdings verbunden mit dem Versprechen, dass am Ende des Textes die losen Enden des roten Fadens zusammengeführt werden und ein Mehrwert für die Leserschaft dabei herauskommt. Zunächst werfen wir aber noch kurz den Blick auf Art. 82 Abs. 1 DSGVO, wonach jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz hat. Die Kollegen von Latham & Watkins LLP stellen auf ihrer Website eine regelmäßig aktualisierte Tabelle mit gerichtlichen Entscheidungen zu dieser Thematik kostenlos zur Verfügung ( https://de.lw.com/thoughtLeadership/Latham-DSGVO-Schadensersatztabelle ). Ein Blick darauf verrät, dass inzwischen einige Entscheidungen pro und auch contra Ersatzanspruch existieren. In den Fällen, in denen die Kläger obsiegt haben, reicht die Spannbreite der erstrittenen Beträge von 300 EUR bis immerhin 5.000 EUR. Das klingt zunächst vielleicht nicht nach allzu viel. Man stelle sich jedoch folgendes Szenario vor: Es kommt zu einem Datenleck, infolgedessen ein Datensatz mit 1.000 Kundendaten mehrere Tage offen auf einem Web-Server liegt und von jedermann eingesehen werden kann. Wenn das betreffende Unternehmen nun jedem der davon betroffenen Personen auch „nur” 500 EUR zahlen muss, kommt man auch mit mittelmäßigen Mathematikkenntnissen schnell zu einer sehr großen Summe.
Was will uns der Autor nun mit diesen beiden „Schreckgeschichten” sagen? Es geht in erster Linie darum, die geneigte Leserschaft für das Thema Datenschutz zu sensibilisieren. Denn weder Bußgeld noch Schadensersatz bzw. Schmerzensgeld sind so weit entfernt, als dass man sie ignorieren könnte. Jedes Unternehmen und jede Behörde, unabhängig von Branche, Mitarbeiteranzahl, Umsatz oder Betriebsgröße, muss die datenschutzrechtlichen Vorgaben umsetzen und aufgrund des sog. Accountability-Prinzips (vgl. Art. 5 Abs. 2 DSGVO) im Zweifel auch nachweisen können – das gilt auch und gerade für die Anwaltschaft. Insbesondere durch Art. 82 Abs. 1 DSGVO droht zunehmend Ungemach, auch wenn die erstrittenen Beträge noch keine „amerikanischen Dimensionen” angenommen haben. Und natürlich zahlen ein Einzelanwalt oder eine kleine Sozietät nicht bei jedem kleinen Verstoß gleich ein Millionen-Bußgeld – gleichwohl können Sanktionen der Aufsichtsbehörden unangenehm werden. Nicht nur wegen des Geldes, sondern auch wegen des Aufwands, der im Rahmen einer Überprüfung durch die Datenschutzaufsicht auf einen zukommen kann. Wer schon einmal eine Prüfung des Finanzamts auferlegt bekommen hat, kann ungefähr erahnen, was so e...