LG Bonn, Urt. 11.11.2020 - 29 OWi 1/20
Datenschutzverstoß durch Callcenter
Autor: RAin Maria-Urania Dovas, LL.M., CSW Rechtsanwälte, München
Aus: IT-Rechtsberater, Heft 04/2021
Aus: IT-Rechtsberater, Heft 04/2021
Die Abfrage des Namens und des Geburtsdatums eines Anrufers durch einen Callcenter-Agenten zum Zweck der Authentifizierung gewährleistet unter Berücksichtigung der Kriterien des Art. 32 Abs. 1 DSGVO keinen ausreichenden Schutz vor der Preisgabe von Kundendaten an unberechtigte Anrufer.
DSGVO Art. 32 Abs. 1, Art. 32 Abs. 2, Art. 83 Abs. 1, Art. 83 Abs. 2, Art. 83 Abs. 4
Über diesen Weg erhielt die ehemalige Lebensgefährtin eines Kunden des Verantwortlichen die neue Telefonnummer ihres Ex-Partners von einem Callcenter-Mitarbeiter und nutzte sie für belästigende Anrufe bei dem Kunden.
Der BfDI leitete ein Ordnungswidrigkeitenverfahren gegen den Verantwortlichen ein und verhängte ein Bußgeld i.H.v. 9.550.000 €.
Grundsätze des supranationalen Kartellrechts: Es sei umstritten, ob bei der Verhängung von Geldbußen für Verstöße nach Art. 83 Abs. 4-6 DSGVO der § 30 Abs. 1 OWiG und das deutsche Rechtsträgerprinzip anzuwenden seien oder ob die Grundsätze des supranationalen Kartellsanktionsrechts zur Anwendung kämen. Die Bußgeldtatbestände in Art. 83 Abs. 4-6 DSGVO sähen als Adressaten nur Verantwortliche und Auftragsverarbeiter sowie die Zertifizierungs- und die Überwachungsstelle vor und die Verhängung einer Geldbuße knüpfe dort nicht an eine schuldhafte Handlung der Organe oder Leitung juristischer Personen oder Personenvereinigungen an. Dies lasse sich mit dem Haftungskonzept nach EU-kartellrechtlichen Vorbild und dem Funktionsträgerprinzip nicht sinnvoll in Einklang bringen. Die unterschiedliche Sanktionierung von Ordnungsverstößen von Verbänden in den Mitgliedstaaten der EU und die Anreicherung der Bußgeldtatbestände durch nationale Haftung- und Zurechnungsvorschriften hätten zur Folge, dass die Sanktionierung von Unternehmen von Mitgliedstaat zu Mitgliedstaat erheblich divergieren würde. Dies widerspreche der vom europäischen Gesetzgeber gewollten gleichmäßigen Rechtsanwendung und einheitlichen sowie insb. auch effektiven Sanktionierung von Datenschutzverstößen von Unternehmen.
Schuldhafter Verstoß gegen Art. 32 Abs. 1 DSGVO: Der Verstoß des Verantwortlichen gegen die Vorgaben des Art. 32 Abs. 1 DSGVO liege darin, dass er es im Regelfall in seinen Callcentern habe ausreichen lassen, dass durch die Mitarbeiter zur Authentifizierung des Anrufers Name und Geburtsdatum abgefragt worden seien.
Sicheres Authentifizierungsverfahren: Da die Kommunikation über ein Callcenter weitgehend anonym sei, müsse der Mitarbeiter den Kunden zunächst identifizieren, bevor er für die Bearbeitung des Anrufs auf Kundendaten zugreifen könne. Es müsse sichergestellt werden, dass es sich bei dem Anrufer tatsächlich um den Kunden oder einen für diesen berechtigt auftretenden Dritten handelte. Hierzu bedürfe es einer sicheren Methode zur Authentifizierung des an den Daten Berechtigten. Die Auswahl der angemessenen Methode müsse auf der Grundlage der Ermittlung und Bewertung der spezifischen Risiken und der Eintrittswahrscheinlichkeit und der Schwere der nachteiligen Folgen für die betroffenen natürlichen Personen erfolgen. Je sensibler die Daten, gravierender die möglichen Folgen der unbefugten Datenpreisgabe und je wahrscheinlicher solche Folgen seien, desto höher seien die Anforderungen an ihren Schutz.
Risiko des Datenmissbrauchs: Vorliegend habe die Gefahr eines Angriffs auf die Daten individueller Kunden bestanden, für deren Rechte und Freiheiten das Risiko allerdings derart erheblich gewesen sei, dass die Daten wirksam hätten geschützt werden müssen. Das Risiko, Opfer eines Datenmissbrauchs durch Dritte zu werden, habe zwar relativ betrachtet nur für einen geringen Anteil der Kunden des Verantwortlichen bestanden, aufgrund der hohen Kundenzahl sei dies jedoch durchaus relevant. Dem habe das angewendete Authentifizierungsverfahren nicht ausreichend Rechnung getragen. Die abgefragten Daten seien ungeeignet, eine Vermutung für eine Berechtigung/Vertretungsmacht des Anrufenden zu begründen, wenn es sich dabei erkennbar um einen Dritten handle. Ohne nennenswerten Aufwand sei es möglich gewesen, den Sicherheitsstandard zu erhöhen, indem etwa zusätzlich Spezialwissen, etwa der Kunden- oder Rechnungsnummer, erfragt werde.
Bußgeldbemessung: Die Höhe des Bußgelds sei auf weniger als 10 % des ursprünglichen Betrags zu reduzieren. Gemäß Erwgrd. 150 der DSGVO sei der funktionale Unternehmensbegriff des europäischen Kartellrechts zugrunde zu legen. Daher komme es auf den Gesamtumsatz des Konzerns an. Bezugszeitraum sei laut kartellrechtlicher EuGH-Rechtsprechung die Höhe des Jahresumsatzes im der Sanktion vorausgehenden Geschäftsjahr. Zur konkreten Bemessung der Geldbuße innerhalb des Bußgeldrahmens sei maßgebend, dass der Umsatz des Unternehmens in Art. 83 Abs. 2 Satz 2 DSGVO nicht als Zumessungsgesichtspunkt genannt sei. Der vom BfDI in Anlehnung an das Bußgeldkonzept der Datenschutzkonferenz verfolgte Ansatz, bei dem die Bemessung des Bußgelds durch Ermittlung eines sich nach dem Umsatz richtenden Grundwerts erfolge, welche je nach Schwere des Datenschutzverstoßes mit einem Faktor multipliziert werde, sei wegen der damit einhergehenden Fokussierung auf den Unternehmensumsatz problematisch und möge ggf. bei Datenschutzverstößen von mittlerem Gewicht zu angemessenen Ergebnissen führen. Vorrang hätten demgegenüber die tatbezogenen Zumessungsgesichtspunkte. Außerdem müsse die Geldbuße auch verhältnismäßig sein. Sie müsse spürbar sein, dürfe jedoch nicht als unangemessene Härte im Sinne einer überzogenen Reaktion auf den konkreten Verstoß erscheinen. Vorliegend handle es sich um einen Datenschutzverstoß mit einem deutlichen Überwiegen mildernde Gesichtspunkte, die zu berücksichtigen seien. Hierzu gehöre etwa die Tatsache, dass keine sensiblen Daten betroffen gewesen seien, es nur in einem Fall nachweisbar zu der Schädigung eines Kunden gekommen sei, der Verstoß nicht absichtlich, bewusst oder auch nur bedingt vorsätzlich erfolgt sei, der Verantwortliche umfassend mit dem BfDI kooperiert und unverzüglich das Schutzniveau des Authentifizierungsprozesses erhöht habe.
DSGVO Art. 32 Abs. 1, Art. 32 Abs. 2, Art. 83 Abs. 1, Art. 83 Abs. 2, Art. 83 Abs. 4
Das Problem
Ein großes Telekommunikationsunternehmen betrieb im Konzernverbund ein Callcenter, in dem die Mitarbeiter mit einer Benutzeroberfläche auf der Grundlage der Kundendatenbank arbeiteten, die für die Verarbeitung von Kundenanfragen erforderliche Informationen zur Verfügung stellte. Bei der Bearbeitung von Kundenanfragen mussten die Mitarbeiter zunächst den Anrufer identifizieren. Erfolgte der Anruf unter einer von dem Verantwortlichen vergebenen Telefonnummer, wurde dem Mitarbeiter der jeweilige Datensatz direkt angezeigt. Bei Anrufen von einer fremden oder unterdrückten Telefonnummer wurde der Kunde anhand seines Namens und seines Geburtsdatums oder durch Angabe von Kunden-/Vertrags- bzw. Auftragsnummer identifiziert.Über diesen Weg erhielt die ehemalige Lebensgefährtin eines Kunden des Verantwortlichen die neue Telefonnummer ihres Ex-Partners von einem Callcenter-Mitarbeiter und nutzte sie für belästigende Anrufe bei dem Kunden.
Der BfDI leitete ein Ordnungswidrigkeitenverfahren gegen den Verantwortlichen ein und verhängte ein Bußgeld i.H.v. 9.550.000 €.
Die Entscheidung des Gerichts
Das Gericht hat den Datenschutzverstoß als Gegenstand des Bußgeldverfahrens bestätigt. Die Höhe des verhängten Bußgelds sei jedoch auf einen tat- und schuldangemessenen Betrag von 900.000 € zu reduzieren.Grundsätze des supranationalen Kartellrechts: Es sei umstritten, ob bei der Verhängung von Geldbußen für Verstöße nach Art. 83 Abs. 4-6 DSGVO der § 30 Abs. 1 OWiG und das deutsche Rechtsträgerprinzip anzuwenden seien oder ob die Grundsätze des supranationalen Kartellsanktionsrechts zur Anwendung kämen. Die Bußgeldtatbestände in Art. 83 Abs. 4-6 DSGVO sähen als Adressaten nur Verantwortliche und Auftragsverarbeiter sowie die Zertifizierungs- und die Überwachungsstelle vor und die Verhängung einer Geldbuße knüpfe dort nicht an eine schuldhafte Handlung der Organe oder Leitung juristischer Personen oder Personenvereinigungen an. Dies lasse sich mit dem Haftungskonzept nach EU-kartellrechtlichen Vorbild und dem Funktionsträgerprinzip nicht sinnvoll in Einklang bringen. Die unterschiedliche Sanktionierung von Ordnungsverstößen von Verbänden in den Mitgliedstaaten der EU und die Anreicherung der Bußgeldtatbestände durch nationale Haftung- und Zurechnungsvorschriften hätten zur Folge, dass die Sanktionierung von Unternehmen von Mitgliedstaat zu Mitgliedstaat erheblich divergieren würde. Dies widerspreche der vom europäischen Gesetzgeber gewollten gleichmäßigen Rechtsanwendung und einheitlichen sowie insb. auch effektiven Sanktionierung von Datenschutzverstößen von Unternehmen.
Schuldhafter Verstoß gegen Art. 32 Abs. 1 DSGVO: Der Verstoß des Verantwortlichen gegen die Vorgaben des Art. 32 Abs. 1 DSGVO liege darin, dass er es im Regelfall in seinen Callcentern habe ausreichen lassen, dass durch die Mitarbeiter zur Authentifizierung des Anrufers Name und Geburtsdatum abgefragt worden seien.
Sicheres Authentifizierungsverfahren: Da die Kommunikation über ein Callcenter weitgehend anonym sei, müsse der Mitarbeiter den Kunden zunächst identifizieren, bevor er für die Bearbeitung des Anrufs auf Kundendaten zugreifen könne. Es müsse sichergestellt werden, dass es sich bei dem Anrufer tatsächlich um den Kunden oder einen für diesen berechtigt auftretenden Dritten handelte. Hierzu bedürfe es einer sicheren Methode zur Authentifizierung des an den Daten Berechtigten. Die Auswahl der angemessenen Methode müsse auf der Grundlage der Ermittlung und Bewertung der spezifischen Risiken und der Eintrittswahrscheinlichkeit und der Schwere der nachteiligen Folgen für die betroffenen natürlichen Personen erfolgen. Je sensibler die Daten, gravierender die möglichen Folgen der unbefugten Datenpreisgabe und je wahrscheinlicher solche Folgen seien, desto höher seien die Anforderungen an ihren Schutz.
Risiko des Datenmissbrauchs: Vorliegend habe die Gefahr eines Angriffs auf die Daten individueller Kunden bestanden, für deren Rechte und Freiheiten das Risiko allerdings derart erheblich gewesen sei, dass die Daten wirksam hätten geschützt werden müssen. Das Risiko, Opfer eines Datenmissbrauchs durch Dritte zu werden, habe zwar relativ betrachtet nur für einen geringen Anteil der Kunden des Verantwortlichen bestanden, aufgrund der hohen Kundenzahl sei dies jedoch durchaus relevant. Dem habe das angewendete Authentifizierungsverfahren nicht ausreichend Rechnung getragen. Die abgefragten Daten seien ungeeignet, eine Vermutung für eine Berechtigung/Vertretungsmacht des Anrufenden zu begründen, wenn es sich dabei erkennbar um einen Dritten handle. Ohne nennenswerten Aufwand sei es möglich gewesen, den Sicherheitsstandard zu erhöhen, indem etwa zusätzlich Spezialwissen, etwa der Kunden- oder Rechnungsnummer, erfragt werde.
Bußgeldbemessung: Die Höhe des Bußgelds sei auf weniger als 10 % des ursprünglichen Betrags zu reduzieren. Gemäß Erwgrd. 150 der DSGVO sei der funktionale Unternehmensbegriff des europäischen Kartellrechts zugrunde zu legen. Daher komme es auf den Gesamtumsatz des Konzerns an. Bezugszeitraum sei laut kartellrechtlicher EuGH-Rechtsprechung die Höhe des Jahresumsatzes im der Sanktion vorausgehenden Geschäftsjahr. Zur konkreten Bemessung der Geldbuße innerhalb des Bußgeldrahmens sei maßgebend, dass der Umsatz des Unternehmens in Art. 83 Abs. 2 Satz 2 DSGVO nicht als Zumessungsgesichtspunkt genannt sei. Der vom BfDI in Anlehnung an das Bußgeldkonzept der Datenschutzkonferenz verfolgte Ansatz, bei dem die Bemessung des Bußgelds durch Ermittlung eines sich nach dem Umsatz richtenden Grundwerts erfolge, welche je nach Schwere des Datenschutzverstoßes mit einem Faktor multipliziert werde, sei wegen der damit einhergehenden Fokussierung auf den Unternehmensumsatz problematisch und möge ggf. bei Datenschutzverstößen von mittlerem Gewicht zu angemessenen Ergebnissen führen. Vorrang hätten demgegenüber die tatbezogenen Zumessungsgesichtspunkte. Außerdem müsse die Geldbuße auch verhältnismäßig sein. Sie müsse spürbar sein, dürfe jedoch nicht als unangemessene Härte im Sinne einer überzogenen Reaktion auf den konkreten Verstoß erscheinen. Vorliegend handle es sich um einen Datenschutzverstoß mit einem deutlichen Überwiegen mildernde Gesichtspunkte, die zu berücksichtigen seien. Hierzu gehöre etwa die Tatsache, dass keine sensiblen Daten betroffen gewesen seien, es nur in einem Fall nachweisbar zu der Schädigung eines Kunden gekommen sei, der Verstoß nicht absichtlich, bewusst oder auch nur bedingt vorsätzlich erfolgt sei, der Verantwortliche umfassend mit dem BfDI kooperiert und unverzüglich das Schutzniveau des Authentifizierungsprozesses erhöht habe.