Alte und neue Strafmöglichkeiten der Datenschutzaufsicht Eine Zwischenbilanz nach vier Jahren Datenschutz-Novellen Dr. Eugen Ehmann

Überblick zum Inhalt Zum Einstieg: der „an/cc/bcc-Fall“ Unterschied „Bußgeld / Zwangsgeld“ Neue Bußgeldregelungen seit 2009 Bußgeld gegen die Unternehmensleitung ? Bußgeld gegen das Unternehmen selbst? Ahndungsverhalten bundesweit Zum Kontrast: ein teures Beispiel Einige Tipps zum Abschluss

1. Zum Einstieg: der „an/cc/bcc – Fall“ - Sachverhalt - Eine Mitarbeiterin eines bayerischen Handels-unternehmens verschickt eine Mail an Kunden des Unternehmens. Der Ausdruck umfasst 10 Seiten, die sich so zusammensetzen: 9, 5 Seiten mit Mailadressen der Kunden 0,5 Seiten mit der Standardmitteilung, man werde sich zeitnah um die Anliegen der Kunden kümmern. Die Adressen der Kunden waren in das „An-Feld“ gesetzt. Dadurch konnte jeder Kunde die Mail-adressen aller anderen Kunden sehen.

1. Zum Einstieg: der „an/cc/bcc – Fall“ - Sanktionen und deren Ankündigung - Sanktion gegen die konkrete Mitarbeiterin „Ein Bußgeld“, dessen Höhe das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nicht nennen will. Es dürfte bei 500 – 1000 € liegen (Begründung siehe Folie 15! ). Künftige Sanktionen gegen Unternehmensleitungen „Da in manchen Unternehmen dieser Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird, d.h. von Seiten der Unternehmensleitung die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht werden, wird das BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeld-bescheid nicht gegen den konkreten Mitarbeiter, der die Mail mit offenem E-Mail-Verteiler versandt hat, erlassen, sondern gegen die Unternehmensleitung.“ (Pressemitteilung BayLDA 28.9.2013)

1. Zum Einstieg: der „an/cc/bcc – Fall“ - Datenschutzrechtlicher Verstoß - (Es) handelt sich bei jedem einzelnen Adressdatum … im offenen Verteiler … um die Übermittlung personenbezogener Daten. Diese Übermittlung ist … nicht erforderlich und damit datenschutzrechtlich unzulässig. Mit der Datenübermittlung werden Empfänger gegen ihren Willen als Kunde oder Kontaktperson des Unternehmens „geoutet“. Hinzu kommt, dass andere E-Mail- Empfänger die erhaltenen E-Mail-Adressen ihrerseits für unverlangte Werbe-E-Mails nutzen können. Zudem werden … die E-Mail-Adressen der Empfänger einer kaum einschätzbaren Gefährdung durch Schadprogramme ausgesetzt (wenn z. B. auch nur ein einziger E-Mail-Empfänger nicht über einen aktuellen Virenschutz verfügt). Quelle: Hessischer Datenschutzbeauftragter, 41. Tätigkeitsbericht v. 16.4. 2013, Ziffer 4.4

2. Unterschied Bußgeld / Zwangsgeld - Das Prinzip- ahndet ein Fehlverhalten wird nur einmal verhängt Fehlverhalten damit für den Staat „erledigt“ Zwangsgeld dient der Durchsetzung behördlicher Anordnungen kann mehrfach verhängt und vollstreckt werden wird nicht mehr vollstreckt, wenn die Anordnung doch noch befolgt wird

2. Unterschied Bußgeld / Zwangsgeld - Rechtsgrundlagen - § 43 Bundesdatenschutzgesetz (BDSG) Bundeseinheitliche Regelung (gültig vor allem für Privatunternehmen) Zwangsgeld Verwaltungsvollstreckungsgesetze der Länder Nach Ländern divergierende Regelungen

2. Unterschied Bußgeld / Zwangsgeld - Wann ist was angezeigt? - Häufiger Praxisfall Unternehmen erteilt geforderte Auskünfte nicht Zwangsgeld Soll dafür sorgen, dass Auskunft doch noch kommt! Bußgeld Ahndet, dass die Auskunft nicht oder verspätet erteilt wurde! Kombination beider Maßnahmen Wegen der unterschiedlichen Zielrichtung beides „nebeneinander“ möglich!

3. Neue Bußgeldregelungen seit 2009 - Anlass und Wahrnehmung - Anlass: Novelle(n) des BDSG in diesem Jahr Stark beachtet: Erhöhung des maximalen Bußgeldrahmens auf 300.000 € (vorher immerhin auch schon 250.000 €) Weithin übersehen: Ausweitung der Tatbestände auf nahezu jeden denkbaren Verstoß gegen das BDSG

3. Neue Bußgeldregelungen seit 2009 - Kritisches Wort zum Thema - Es ist einfacher, „einen Wust unübersichtlicher Normen zu erlassen und deren Übertretung mit Strafe zu bedrohen als schon bei der Regelung der Grundmaterie mit der gebotenen Behutsamkeit zu verfahren und Strafen nur in ernst liegenden Fällen anzudrohen.“ Quelle: Maurach/Zipf, Strafrecht, Allgemeiner Teil, 7. Auflage 1987, § 2 Rdnr. 14

4. Bußgeld gegen die Unternehmensleitung ? - Unzureichende Aufsicht - „Compliance“ hilft hier als Begriff nicht weiter! Aber: § 130 OwiG! „Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen … handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.“

5. Bußgeld gegen das Unternehmen selbst? - „Verbandsgeldbuße“ 1 - § 30 Abs. 1 OwiG: "Hat jemand 1.als vertretungsberechtigtes Organ einer juristischen Person oder als Mitglied eines solchen Organs, 2.als Vorstand eines nicht rechtsfähigen Vereins oder als Mitglied eines solchen Vorstandes, … eine Straftat oder Ordnungswidrigkeit begangen, durch die Pflichten, welche die juristische Person oder die Personenvereinigung treffen, verletzt worden sind …., so kann gegen diese eine Geldbuße festgesetzt werden.“

5. Bußgeld gegen das Unternehmen selbst? - „Verbandsgeldbuße“ 2 - Hindernisse der Praxis: Das Begehen einer Ordnungswidrigkeit durch eine unternehmensangehörige Person, die nicht als „Leitungsperson" anzusehen ist, führt nicht zur Anwendbarkeit von § 30 OWiG! Praxisfall: Verkauf einer gebrauchten ungelöschten Festplatte mit personenbezogenen Daten; Verdacht eines Verstoßes gegen § 43 Abs. 2 Nr. 1 BDSG; Aber: Einstellung des Verfahrens, „weil sich nicht mehr aufklären ließ, wer von den Mitarbeitern des Unternehmens für die Löschung der Festplatte verantwortlich war“. Quelle: Regierung von Mittelfranken, 1. Tätigkeitsbericht (2002/2003), S. 41.

6. „Ahndungsverhalten“ bundesweit - zum Einstieg - Ähnlicher als man vermuten könnte! Beispiel: Verstoß gegen Auskunftsverpflichtung ( § 43 Abs. 1 Nr. 10 BDSG): Baden – Württemberg 2007 : 500 € Bremen 2009 : 800 € Hessen 2009 : 1000 €

6. „Ahndungsverhalten“ bundesweit - Kriterien der Bußgeldhöhe- Am Beispiel des Einstiegsfalls von Folie 3 („Mailverteiler“) ! Zu bedenken sind vor allem: Offensichtlich „nur“ fahrlässiges Verhalten Folgen für die Betroffenen wohl nicht zu gravierend Einkommensverhältnisse (Mitarbeiterin im Back-Office?! 2000 € netto im Monat?!) Parallelen zum Strafrecht („Was kostet eine Körperverletzung, etwa im Straßenverkehr“?) Ergebnis recht sicher : 500 – 1000 €

7. Zum Kontrast: ein teures Beispiel Unzulässige Zugriffsmöglichkeit auf Kundendaten einer Hamburger Bank durch „mobile Vertriebsmitarbeiter“ (freie Finanzberater) ohne Vorliegen der erforderlichen Einwilligung der Betroffenen (Fall der Übermittlung gemäß § 3 Abs.4 Nr. 3b BDSG) 2007 -2010 über 600 Abrufe nachweisbar Bußgeld 200.000 € (wohl „Verbandsgeldbuße“ gemäß § 30 OwiG) Quelle: Hamburg, 23. Tätigkeitsbericht 2010 / 2011

8. Einige Tipps zum Abschluss Vernünftig ausgestatteter (!) interner Datenschutzbeauftragter fängt das Meiste schon im Vorfeld auf! Schulungen der Belegschaft zahlen sich aus Dasselbe gilt für klare organisatorische Festlegungen und Handlungsanweisungen Häufigster Bußgeldgrund: Verweigerung von Auskünften an die Aufsichtsbehörde selbst bei wiederholter Aufforderung – leicht vermeidbar!