Ende 2020 verhängte die niedersächsische Datenschutzbehörde ein DSGVO-Bußgeld von über 10 Millionen Euro gegen notebookbilliger.de. Die Strafe sorgte für viel Aufsehen. Sie zeigte, wie streng die DSGVO in Deutschland ist und dass Unternehmen beim Umgang mit persönlichen Daten genau auf die Regeln achten müssen.
Notebookbilliger.de wollte die hohe Strafe nicht akzeptieren. Ein jahrelanger Rechtsstreit begann, der bis zum Oberlandesgericht Celle ging. Am Ende wurde die Strafe von 10,4 Millionen Euro auf 900.000 Euro deutlich reduziert.
Sachverhalt
Hintergrund des Bußgeldes war der Einsatz von Videomaßnahmen, die aus datenschutzrechtlicher Sicht als unzulässig bewertet wurden. Die Kameras erfassten neben öffentlich zugänglichen Bereichen auch Aufenthaltszonen von Kunden sowie Arbeits- und Pausenbereiche von Beschäftigten. Die Aufsichtsbehörde beanstandete insbesondere die teilweise bis zu 60 Tage andauernde Speicherung der Aufzeichnungen sowie das Fehlen geeigneter technischer und organisatorischer Maßnahmen, insbesondere zur Unkenntlichmachung sensibler Bereiche. Auch der Umfang der Überwachung im Außenbereich wurde als unverhältnismäßig eingestuft.
Demgegenüber berief sich das Unternehmen auf überwiegende berechtigte Interessen im Sinne der Gefahrenabwehr und verwies auf wiederholt aufgetretene Fälle organisierten Diebstahls. Dieses Vorbringen wurde im Nachgang durch strafrechtliche Verurteilungen ehemaliger Mitarbeitender zumindest teilweise untermauert.
Was war der entscheidende Grund für die Wendung der Höhe des Bußgeldes?
In dem Verfahren kamen die Richter zu einer anderen Bewertung des Ganzen. Die Datenschutzaufsichtsbehörde orientierte das Bußgeld maßgeblich am Umsatz des Unternehmens und bewertete die Verstöße als sehr schwer. Somit verhängte sie zunächst rund 10,4 Millionen Euro. Das Landgericht Hannover reduzierte die Geldbuße auf 700.000 Euro, das Oberlandesgericht Celle setzte sie schließlich auf 900.000 Euro fest.
Ausschlaggebend war für die Gerichte insbesondere eine abweichende rechtliche Einordnung der maßgeblichen Kriterien. Sie stuften die Verstöße als weniger schwerwiegend ein und berücksichtigten zugunsten des Unternehmens dessen kooperatives Verhalten im Verfahren. Zudem wurde in die Bewertung einbezogen, dass sich die Vorgänge in einer frühen Phase der DSGVO ereigneten, in der noch eine gewisse Rechtsunsicherheit bestand.
Von besonderer Bedeutung war darüber hinaus die Anwendung der Leitlinien des Europäischen Datenschutzausschusses aus dem Jahr 2023, die gegenüber den zuvor herangezogenen nationalen Berechnungsmodellen als maßgeblich angesehen wurden. Schließlich flossen auch wirtschaftliche Aspekte in die Abwägung ein, sodass ein höheres Bußgeld im Ergebnis als unverhältnismäßig bewertet wurde.