Das Landgericht Bonn hat gestern mit einem Urteil gegen das Telekommunikationsunternehmen 1&1 ein Novum in der noch jungen Geschichte der Datenschutzgrundverordnung (DSGVO) begründet (Az. 29 OWi 1/20 – Pressemitteilung des Gerichts).

Die 1&1 GmbH (1&1) hatte sich als eine der ersten Adressatinnen eines Bußgeldes zur Wehr gesetzt und Einspruch gegen den Bußgeldbescheid des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) eingelegt. Das Bußgeldkonzept der Datenschutzbehörden überzeugte das LG Bonn indessen nicht. Zwar verurteilte es 1&1, ein Bußgeld in Höhe von 900.000 Euro zu zahlen. Das ursprünglich vorgesehen Bußgeld von 9,55 Millionen Euro reduzierte das LG Bonn aber um glatte 90 Prozent.

Ein Novum war das Verfahren auch aus prozessualer Sicht. Das deutsche Datenschutzrecht ordnet in § 41 BDSG nämlich die sinngemäße Anwendung des Ordnungswidrigkeitenrechts an. Das wiederum verweist für die Hauptverhandlung auf die Vorschriften der Strafprozessordnung, wodurch – ein Blick auf die ähnlich strukturierten Kartellbußgeldverfahren belegt dies – eine anspruchsvolle prozessrechtliche Gemengelage entstehen kann. Nicht ohne Grund bestand das Verteidigungsteam von 1&1 jeweils aus Anwälten mit dem Schwerpunkten Datenschutz- und Strafrecht.

Worum ging es?

Im November 2019 erließ der BfDI ein Bußgeld gegen 1&1 in Höhe von 9,55 Millionen Euro. Ausgelöst wurde das Verfahren des BfDI gegen 1&1 durch die Beschwerde eines Kunden aus dem Jahr 2018. Dessen Lebensgefährtin, von der er sich zu dem Zeitpunkt bereits getrennt hatte, hatte über das 1&1 Callcenter seine Telefonnummer und den Entsperrungstermin für die Nummer in Erfahrung bringen können. Im Callcenter waren zur Authentifizierung lediglich der Name und das Geburtsdatum abgefragt worden.

Der Kunde wurde im Anschluss durch seine Ex-Lebensgefährtin gestalkt. Auf den Vorfall aufmerksam gemacht reagierte der Telekommunikationsanbieter und führte zuerst eine „Drei-Faktor“-Authentifizierung ein. Anschließend stellte das Callcenter auf eine Service-PIN um, die nur der Kunde kannte. Die Implementierungskosten für die Service-PIN beliefen sich auf 5 Millionen Euro.

Der BfDI warf 1&1 einen Verstoß gegen die Anforderungen an die Sicherheit der Verarbeitung (Art. 32 DSGVO i.V.m. Art. 83 Abs. 4 lit. a DSGVO) vor. Es seien keine hinreichenden technischen und organisatorischen Maßnahmen ergriffen worden; die Authentifizierungsabfrage im Callcenter seien unzureichend gewesen. Bei der Abfrage von Namen und Geburtsdatum handele es sich um gar keine Authentifizierung, weswegen der Verstoß gravierend sei. Außerdem befinde sich das Bußgeld im Hinblick auf die Höhe noch „im unteren Rahmen“, da 1&1 in den Jahren 2018 und 2019 einen Umsatz in Höhe von 3,634 und 3,674 Milliarden Euro erzielt habe. Gegen diesen Bußgeldbescheid legte 1&1 Einspruch ein.

Den Einspruch begründete 1&1 damit, dass der Bescheid in seiner Höhe ungerechtfertigt sei und generell kein Verstoß gegen die DSGVO bestanden habe. Denn die Abfrage von Namen und Geburtsdatum bei Callcentern aller Anbieter sei zu dem Zeitpunkt üblich gewesen.

Der BfDI dagegen war der Ansicht, dass die Geldbuße ein klares Zeichen sei, dass der Grundrechtsschutz durchgesetzt werde [Pressemitteilung des BfDI]. Das Bußgeld sei geboten, obwohl 1&1 mit der Aufsichtsbehörde kooperiert und ein neues verbessertes Authentifizierungsverfahren implementiert habe.

Argumente in der Hauptverhandlung

„Bestrafung“ nach §§ 30, 130 OWiG?

Schon am ersten Prozesstag hatte die Verteidigung die Einstellung des Verfahrens beantragt. Begründung: Der Bußgeldbescheid beziehe sich ausschließlich auf das Unternehmen und nehme keinen Bezug auf die Handlung einer natürlichen Person. § 41 BDSG verweise als einschlägige Vorschrift nämlich auf das Ordnungswidrigkeitengesetz und damit auch auf die §§ 30, 130 OWiG, welche die „Bestrafung“ von Unternehmen in Deutschland regelten. Dabei sei aber immer eine von einer Person zu verantwortende Anknüpfungstat notwendig. Eine von Personen völlig losgelöste „Verbandshaftung sui generis“ sehe das deutsche Recht nicht vor, weswegen der Bußgeldbescheid fehlerhaft sei. Eine von dieser Dogmatik losgelöste Verbandshaftung könne der europäische Gesetzgeber mangels Rechtsetzungskompetenz im Strafrecht auch gar nicht anordnen.

Angeregt wurde in diesem Kontext, die Frage im Wege eines Vorabentscheidungsverfahrens dem Europäischen Gerichtshof vorzulegen. Dagegen vertrat der BfDI, dass die DSGVO eine „Verbandshaftung sui generis“ regele und sich in ihrer Gänze gegen juristische Personen und nicht gegen natürliche Personen, z.B. den Geschäftsführer, richte. Daher sei im Bußgeldbescheid auch keine Anknüpfung an eine natürliche Person vorhanden. Begründet wurde dies damit, dass Art. 83 DSGVO keine Öffnungsklausel für eine grundsätzliche Ausgestaltung der Sanktionierung durch den nationalen Gesetzgeber beinhalte. Der nationale Gesetzgeber habe nur eine Ermächtigung zur Gestaltung des formellen Teils der Sanktionierung.

Verstoß gegen Art. 32 DSGVO?

Ein weiterer Streitpunkt entzündete sich an der Frage, ob das Authentifizierungsverfahren von 1&1 einen Verstoß gegen Art. 32 DSGVO begründete. Dieser enthält eine (risikobasierte) Generalklausel, die Sicherheit der Verarbeitung zu gewährleisten. Dem Verantwortlichen wird dabei auferlegt, unter Berücksichtigung des „Stands der Technik“ geeignete technische und organisatorische Maßnahmen zu implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Unbeantwortet bleibt in der DSGVO, aus welchen Normen der Stand der Technik und die hieraus geeigneten konkreten Maßnahmen gewonnen werden können. Auch die bisher dazu veröffentlichte Literatur gibt für Verantwortliche keine verbindlichen Hinweise.

Insofern wies 1&1 vor Gericht darauf hin, dass sich das Unternehmen nur daran orientieren könne, was auch sonst „marktüblich“ und allgemein anerkannt sei. Die meisten anderen Telekommunikationsdienstleister hatten sich bis zu dem Zeitpunkt ebenfalls einer Zweifachauthentifizierung bedient. Die Verfahrensmethoden im Callcenter seien zuvor durch den BfDI geprüft worden. Es hätten sich auch sonst keine „Guidelines“ des BfDI finden lassen.  Somit habe 1&1 alle ihr möglichen Maßnahmen ergriffen und befand sich im unvermeidbaren Verbotsirrtum.

Der BfDI führte dagegen an, dass durch die „unsichere“ Authentifizierungsmethode in den Callcentern 1&1 eine unmittelbare Gefahr für das Allgemeine Persönlichkeitsrecht und das Recht auf informationelle Selbstbestimmung der Kunden vorgelegen habe. Immerhin sei ein Zugriff auf sensible Daten möglich gewesen (in dem Fall: Name, Anschrift, Geburtsdatum, letzte 4 Ziffern der IBAN, ausstehende Forderungen, vorherige Kommunikation mit dem Kundencenter). Diese hätten unter Umständen an die falsche Person herausgegeben werden können.

Außerdem sei es für 1&1 aufgrund der Risikobewertungsmatrix der deutschen Datenschutzbehörden möglich gewesen zu bewerten, dass höhere Schutzmaßnahmen erforderlich gewesen seien, um die Daten adäquat vor Fremdeinwirkung zu schützen. Dies folge auch aus den IT-Grundschutzkatalogen des BSI. Dort werde als Authentifizierungsmaßnahme die Nutzung eines Servicepassworts genannt. Es beziehe sich zwar nur auf den Onlineservice. Jedoch könne das Modell auf die Hotline-Beratung in Callcentern entsprechend angewandt werden. Es käme nicht auf die Marktüblichkeit, sondern auf die Marktverfügbarkeit an. Darüber hinaus gebe 1&1 ein schlechtes Bild im Datenschutz ab: Es lägen keine Compliance-Dokumente vor, es gäbe keine interne Datenschutzzentrale und auch eine vorausschauende Anpassung des Datenschutzes über die Jahre sei nicht erfolgt.

Streitpunkt Bußgeldhöhe

Hinsichtlich der Bußgeldhöhe monierte die Verteidigung, dass das Bußgeld viel zu hoch bemessen sei. Grundlage der Berechnung war das Bußgeldkonzept der deutschen Datenschutzbehörden. Hier sei der Jahresumsatz des Konzerns zwar richtig berechnet worden. Die mildernden Umstände seien aber außer Acht gelassen worden. Nicht berücksichtigt habe der BfDI, dass durch die Implementierung des neuen Verfahrens 1&1 Kosten in Höhe von ca. 5 Millionen Euro entstanden seien und dass 1&1 sofort gehandelt habe, als ihr mitgeteilt wurde, dass das Authentifizierungsverfahren aus Sicht des BfDI nicht dem Stand der Technik entspreche. Ferner müsse sich die Höhe des Bußgeldes nicht am Umsatz, sondern am Gewinn, und auch nicht am Gewinn der Unternehmensgruppe, sondern am Gewinn des einzelnen Unternehmens bemessen.

Der BfDI war dagegen der Ansicht, dass der Bußgeldrahmen am Umsatz und nicht am Gewinn der Unternehmensgruppe orientiert sei und im Einzelfall vom Ermessen der Behörde abhänge. Dieses Ermessen habe man auch nicht überschritten, weil das Bußgeld auch eine Abschreckungswirkung entfalten solle. Die Geldbuße sei mit Blick auf den Jahresumsatz des Konzerns immer noch „mit einem Knöllchen“ zu vergleichen.

Die Entscheidung des Landgerichts Bonn

Das LG Bonn entschied, dass das durch den BfDI verhängte Bußgeld gegen 1&1 dem Grunde nach berechtigt, aber unangemessen hoch sei. Es setzte das Bußgeld daher von 9,55 Millionen Euro auf 900.000 Euro herab. Zu den wesentlichen Streitfragen der Hauptverhandlung hat die Kammer sich wie folgt erklärt:

Es sei zulässig, 1&1 als unmittelbare Adressatin des Bußgeldbescheids zu bezeichnen. Es sei in diesem Kontext nicht erforderlich gewesen, den Bußgeldbescheid für das Unternehmen an eine Leitungsperson anzuknüpfen.

Das Gericht zog einen Vergleich zum supranationalen Kartellrecht und zum Funktionsträgerprinzip. Dort bestehe eine Haftung für sämtliche Beschäftigte. Ob in Art. 83 Abs. 4 bis Abs. 6 DSGVO das kartellrechtliche Funktionsträgerprinzip oder das Rechtsträgerprinzip aus § 30 OWiG gelte, sei strittig, so das Gericht. Entscheidend sei aber, dass § 41 Abs. 1 BDSG die Anwendung des OWiG in materiell rechtlicher Sicht nur „sinngemäß“ anordne.

Darin sieht das Gericht den Willen des Gesetzgebers, dass der Anwendungsvorrang der DSGVO bestehen bleibe. Das Gericht würdigt zwar, dass in § 41 Abs. 1 S. 2 BDSG die Anwendung von § 30 OWiG nicht ausgeschlossen wird und es dadurch auch möglich sei, dass der Gesetzgeber von der Geltung des § 30 OWiG ausgegangen sei. Mangels Gesetzesbegründung sei dies aber nicht sicher.

Das LG Bonn meint jedenfalls, dass in Art. 83 Abs. 4 bis 6 DSGVO die Grundsätze des supranationalen Kartellrechts und damit das Funktionsträgerprinzip gelten. Als Beleg führt es den Erwägungsgrund 150 zur DSGVO an, aus dem sich ergebe, dass Art. 101, 102 AEUV greifen sollten. Außerdem spreche die DSGVO in Art. 83 Abs. 4 bis 6 DSGVO nur von „Verantwortlichen“ und „Auftragsverarbeitern“, nicht jedoch von natürlichen Personen.

Art. 83 Abs. 8 DSGVO sehe zudem Verfahrensgarantien, insbesondere Rechtsbehelfe vor, und beziehe sich darauf, dass das Verfahren durch die Mitgliedsstaaten zu regeln sei. Im Grenzbereich des materiellen Rechts und des Verfahrens seien Regelungen der Mitgliedsstaaten jedoch nur zulässig, sofern diese für die effektive Verfolgung erforderlich seien.

Unmittelbare Verbandshaftung durch Art. 83 Abs. 4 DSGVO

Im Ergebnis, so das LG Bonn, sehe Art. 83 Abs. 4 DSGVO eine unmittelbare Verbandshaftung sui generis vor. Für diese Rechtsansicht bemüht das Gericht die grundsätzliche Zielsetzung und die Erwägungsgründe der DSGVO: Ziel sei es gewesen, die effektive Durchsetzung des Datenschutzrechts innerhalb der Europäischen Union zu harmonisieren. Aus Erwägungsgrund 9 zur DSGVO ergebe sich, dass die DSGVO – anders als die vorherige Richtlinie – eine einheitliche Handhabung des Datenschutzes gewährleisten wolle.

Aus Erwägungsgrund 10 zur DSGVO ergebe sich weiter, dass ein gleichwertiges Schutzniveau erreicht werden solle. Aus Erwägungsgrund 13 zur DSGVO ergebe sich, dass auch durch gleichwertige Sanktionen Unterschiede bei der Sanktionierung, die zu Hemmnissen innerhalb des Binnenmarktes führen, beseitigt werden sollen. Erwägungsgrund 129 zur DSGVO gebe vor, dass die Arbeit der Datenschutzbehörden harmonisiert werden müsste, in dem diese gleiche Befugnisse haben sollen. Nach Erwägungsgrund 148 sollen Sanktionen (auch Geldbußen) zusätzlich oder anstelle des Bußgeldes nach der DSGVO verhängt werden können. Aus alledem ergebe sich, dass der Bußgeldtatbestand aus Art. 83 Abs. 4 bis 6 DSGVO materiell-rechtlich nicht durch nationale Regelungen beschränkt werden könne.

Schuldhafter Verstoß gegen Art. 32 DSGVO

Das Gericht hat außerdem einen schuldhaften Verstoß gegen Art. 32 DSGVO bejaht. Der Verstoß liege darin, dass im Regelfall Name und Geburtsdatum zur Authentifizierung ausreichend gewesen seien und dies sogar dann, wenn erkennbar nicht der Kunde selbst angerufen habe. Da Callcenter-Mitarbeiter und Kunden sich in der Regel nicht persönlich kennen, sei eine sichere Authentifizierung erforderlich. Das Schutzniveau müsse der Eintrittswahrscheinlichkeit entsprechen, den Stand der Technik berücksichtigen und angemessen sein.

Das Gericht würdigte, dass es sich bei den in Rede stehenden Daten im Callcenter nicht um besonders sensible Daten handelte. Aber auch hier bestünde ein Schutzinteresse der Betroffenen. Ebenso stellt das Gericht in Rechnung, dass kein massenhafter Zugang zu Daten im Raum gestanden habe.

Dagegen stand allerdings auch, dass 1&1 viele Kunden habe und damit die Wahrscheinlichkeit des unberechtigten Zugriffs prinzipiell erhöht sei. Die Missbrauchsgefahr sei deswegen erhöht gewesen, weil durch die Authentifizierung mit dem Namen und dem Geburtsdatum relativ einfach zur (unberechtigten) Preisgabe führen konnte. Es sei zu berücksichtigen gewesen, dass die Authentifizierung ohne viel Aufwand verbesserbar gewesen sei.

Der Verstoß sei auch vorwerfbar. 1&1 habe das Schutzniveau gekannt. In dieser Hinsicht habe sie vorsätzlich gehandelt. Sie habe jedoch ersichtlich kein Problembewusstsein gehabt. Dies auch, weil die jahrelange Praxis nicht bemängelt wurde. Dies sei jedoch vermeidbar gewesen.

Die DSGVO nach Art. 32 Abs. 1 lit.d DSGVO notwendige anlassbezogene und regelmäßige Überprüfung sei nicht erfolgt. Das bloß reaktive Verhalten nach Bekanntwerden des Missbrauches sei nicht ausreichend. Im Zweifel hätte sich 1&1 bei der zuständigen Datenschutzbehörde informieren müssen.

Bemessung des Bußgeldes

Hinsichtlich der Bemessung des Bußgeldes hielt das Gericht fest, dass Art. 83 Abs. 4 lit. a DSGVO den Rahmen für die Bußgeldbemessung vorgebe. Für die Obergrenze sei der Konzernumsatz entscheidend. Das Gericht zog die Rechtsprechung des EuGH im Kartellrecht zu Art. 23 der VO Nr. 1/2003 heran. Entscheidend sei demnach der Umsatz aus dem letzten abgeschlossenen Geschäftsjahr bevor der Bußgeldbescheid erlassen wurde. Maßgebliche Zeitpunkte seien daher nicht der Verstoß oder das Urteil. Der Bescheid sei auf den 27. November 2019 datiert, sodass der Umsatz aus 2018 in Höhe von 3,63 Milliarden Euro und mithin die umsatzbezogene Obergrenze von zwei Prozent maßgeblich sei.

Die Bemessung innerhalb dieses Rahmens richte sich nach Art. 83 Abs. 1 DSGVO. Das Bußgeld müsse danach wirksam, verhältnismäßig und abschreckend sein. Das Gericht verweist sodann auf die Kriterien aus Art. 83 Abs. 2 S. 2 DSGVO. Der Umsatz werde darin nicht genannt. Dies bedeute jedoch nicht, dass dieser für die Bemessung keine Bedeutung habe. Der Umsatz könne zur Festsetzung der Obergrenze herangezogen werden. Zudem müsse das Bußgeld nach Art. 83 Abs. 1 DSGVO wirksam und abschreckend sein. Daher spiele die Ahndungsempfindlichkeit eine Rolle. Diese richte sich nach der Größe des Unternehmens. Dafür sei wiederum der Umsatz des Unternehmens maßgeblich. Zusätzlich könne der Gewinn berücksichtigt werden.

Zu beachten sei jedoch, dass der Umsatz nur ein Kriterium sei. Art. 83 Abs. 2 DSGVO nenne tatbezogene Umstände. Eine Bemessungsformel ähnlich der Berechnung von Tagessätzen im Strafgesetzbuch sei dagegen nicht vorgesehen. Eine solche Formel könne lediglich eine erste Annäherung sein. Sie versage bei schweren Verstößen durch umsatzschwache Unternehmen sowie bei leichten Verstößen durch umsatzstarke Unternehmen.

Die Kriterien aus Art. 83 Abs. 2 DSGVO überwiegten das Kriterium des Umsatzes, je weiter die Bewertung in die eine oder andere Richtung ausschlage. Die Obergrenze von 10 Millionen Euro werde durch die umsatzbasierte Bemessung angepasst. Bei geringen Verstößen von umsatzstarken Unternehmen sei dies jedoch nicht sachgerecht. Dafür spreche auch das Gesetz. Dieses sehe in Art. 83 Abs. 1 DSGVO zwar vor, dass das Bußgeld wirksam und abschreckend sein müsse. Bei geringen oder eingeschränkt vorwerfbaren Verstößen müsse jedoch das Kriterium der Verhältnismäßigkeit bedacht werden. Danach müsse das Bußgeld zwar spürbar, aber nicht unangemessen hoch sein.

Hier seien mildernde Umstände zu berücksichtigen. Es seien keine sensiblen Daten betroffen gewesen. Zudem habe es nur einen Fall gegeben. 1&1 habe nicht absichtlich oder bewusst gehandelt. Das niedrige Schutzniveau habe auch bestanden, um den Kunden einen möglichst ungehinderten Kontakt zum Callcenter zu ermöglichen. 1&1 habe kooperiert und den Verstoß schnell abgestellt. Es sei das erste Bußgeld gegen das Unternehmen. Abstrakt seien zwar 7,4 Millionen Kunden betroffen. Jedoch sei kein Massendiebstahl von Daten möglich gewesen, sondern nur der einzelne Abruf.

Zu bedenken sei auch der Reputationsschaden, der durch das hohe öffentlichkeitswirksame Verfahren entstanden sei. Auf Kunden habe dies gewirkt, als habe ein schwerer Verstoß vorgelegen. Dieser sei so schwer jedoch nicht gewesen.

Neue Etappe in der Entwicklung des Datenschutzrechts

Die Entscheidung des LG Bonn markiert eine neue Etappe in der Entwicklung des Datenschutzrechts. Die Geldbußen waren bei der Einführung der DSGVO eine der zentralen Neuerungen, die dem „zahnlosen Tiger“ Datenschutzrecht ein „scharfes Schwert“ an die Hand geben sollten. In gewisser Weise hat das Gericht diese Linie anerkannt. Immerhin wird für einen geringfügigen Verstoß noch ein Bußgeld von 900.000 Euro festgesetzt.

Misslich ist, dass ein solcher Fall am Ende überhaupt zu einer Geldbuße führt. Die Gesamtumstände und vor allem die vernünftige und schnelle Reaktion des Unternehmens hätten es angezeigt, lediglich eine Verwarnung auszusprechen. So sieht es die DSGVO in Erwägungsgrund 148 – als Ausprägung der Ultima Ratio Funktion – für geringfügige Verstöße auch ausdrücklich vor. Diese Möglichkeit bestand für das Gericht allerdings nicht. Eine Verwarnung kann im Ordnungswidrigkeitenrecht nur durch die Verwaltungsbehörde ausgesprochen werden. Die Möglichkeit einer Einstellung unter Auflagen, wie sie in Strafverfahren in Fällen dieser Art weit verbreitet sind (§ 153a StPO), sieht das Ordnungswidrigkeitenrecht ebenfalls nicht vor. Insofern hat das Gericht aus seiner Sicht die wahrscheinlich mildeste Entscheidung getroffen, die es bei diesem Verstoß selbständig treffen konnte.

Das LG Bonn hat deutlich gemacht, dass die Bußgeldpraxis der deutschen Datenschutzbehörden kein Selbstläufer ist. Diese werden sich in Zukunft – besser als bisher – mit den einzelnen Zumessungsgesichtspunkten des Art. 83 Abs. 2 DSGVO auseinandersetzen müssen. Die deutschen Datenschutzbehörden arbeiten bereits an einem neuen Bußgeldkonzept. Mit Spannung dürfte zu erwarten sein, wie sich das Urteil nun auf das neue Bußgeldkonzept auswirken wird. Bislang war nämlich seitens der Datenschutzbehörden gar nicht berücksichtigt worden, dass die DSGVO es auch zulässt, kein Bußgeld zu verhängen. Dieses stellt eine von möglichen Sanktionen und Maßnahmen dar, muss aber eben kein Automatismus sein.

Eines hat das Gericht deutlich unterstrichen:  Schematische Begründungen werden die Gerichte nicht überzeugen können. Das LG Bonn jedenfalls hat – so wie es in der forensischen Praxis weit verbreitet ist – eine ziemlich ausführliche und an einzelnen Kriterien ausgerichtete Zumessung vorgenommen, um den Fall zunächst in eine Kategorie (leichter Verstoß, mittlerer Verstoß, schwerer Verstoß) einzuordnen, um sodann seine Schlüsse daraus zu ziehen. Hier werden sich Datenschützer mehr noch mit den Mechanismen der Strafrechts- und Bußgeldpraxis vertraut machen müssen. Selbiges gilt aber auch für die deutschen Datenschutzbehörden.

Strenger hat das Gericht den Maßstab für Art. 32 DSGVO gezogen. Hier scheinen offensichtlich schon kleine oder punktuelle Verstöße ausreichend zu sein, um das Fehlen der technischen und organisatorischen Maßnahmen zu belegen. Für die IT-Compliance dürften sich die Anforderungen damit deutlich verschärfen.  Das Gericht hat sich in der mündlichen Urteilsbegründung leider nicht dazu positioniert, welcher Standard für die Heranziehung zur Sicherung der IT Sicherheit verbindlich ist. Der BfDI hat sich hier auf die – für den Laien schwer verständliche – Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Kataloge) und die (viel zu allgemeine) Risikobewertungsmatrix der deutschen Datenschutzbehörden verwiesen. Hier wäre eine klare Erklärung des Gerichts hilfreich gewesen. Bis heute fehlt ein verbindlicher Leitfaden. Die deutschen Datenschutzbehörden sind an diesem Punkt bisher ebenfalls im Vagen geblieben.

Wenig überraschend ist in diesem Zusammenhang, dass ein Verbotsirrtum von 1&1 als vermeidbar klassifiziert wurde. Die Rechtsprechung hinsichtlich des Verbotsirrtums ist auch im normalen Strafrecht streng. Im Wirtschaftsstrafrecht hat sich zudem die Linie der Rechtsprechung entwickelt, dass Unternehmer im Zweifel eine Erkundigungspflicht trifft. Dieser kann er durch Auskunft bei fachkundige Stellen genügen (zuständige Behörde, Fachverband, Wirtschaftsprüfer, Rechtsanwälte). Das gilt auch für den komplexen und sich dynamisch wachsenden Bereich der IT Sicherheit.

Die Ausführungen des Gerichts zur Frage des Unternehmensbegriffs werden weiter für Diskussionen sorgen. Das Gericht hat zur Anwendung der §§ 30, 130 OWiG beide Ansichten dargestellt und sich für das Funktionsträgerprinzip entschieden. In der Konsequenz führt diese Ansicht dazu, dass das Unternehmen für alle Verstöße (seiner Mitarbeiter) einzustehen hat und die Zurechnung – anders als bei § 30 OWiG – nicht auf Handlungen von Leitungspersonen begrenzt ist.

Dies stellt eine Erleichterung in der Beweisführung dar, weil eine konkrete Handlung (oder im Falle des § 130 OWiG ein Unterlassen) nicht mehr nachgewiesen werden muss.

In dieser Frage hat sich der BfDI durchgesetzt (vgl. schon das Kurzpapier Nr. 2 der Datenschutzkonferenz).

1&1 hat jetzt nach § 79 Abs. 3 OWiG i.V.m. § 341 Abs. 1 StPO eine Woche Zeit die Rechtsbeschwerde einzulegen. Die Begründung der Rechtsbeschwerde muss dann binnen eines Monats nach Zustellung des Urteils erfolgen (§ 79 Abs. 3 OWiG in Verbindung mit § 345 Abs. 1 StPO).

Ob es dazu kommen wird, wird man abwarten müssen. Aus Sicht von 1&1 kann man die Verteidigung als Erfolg verbuchen. Das Urteil hat einer einseitig harten Linie eine Absage erteilt. Die Aufsichtsbehörden werden in Zukunft mehr Fingerspitzengefühl beweisen müssen.

Geschrieben von

Mareike Gehrmann, Taylor Wessing

und

Dr. Eren Basar, Wessing & Partner

Dr. Eren Basar ist Fachanwalt für Strafrecht und Partner der auf Wirtschafts- und Steuerstrafrecht spezialisierten Boutique Wessing & Partner Rechtsanwälte. Er verteidigt  regelmäßig Unternehmen und Führungskräfte in der Hauptverhandlung. Ein weiterer Schwerpunkt ist die Beratung im IT- und Datenschutzstrafrecht. Basar hat einen Lehrauftrag an der Uni Kiel und ist Referent an der Bitkom.Akademie.

Erstveröffentlichung auf unternehmensstrafrecht.de.