Ein starkes Team…
…wenn’s drauf ankommt.

Haftungsrisiken bei Verstößen

1. Informationspflichten an die zuständige Aufsichtsbehörde, § 42a BDSG

Unter bestimmten Umständen besteht nach dieser Vorschrift eine Informationspflicht an die zuständige Aufsichtsbehörde, so etwa wenn bestimmte personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Bei Vorliegen besonderer Voraussetzungen muss sogar die Öffentlichkeit in mindestens zwei bundesweit erscheinenden Tageszeitungen informiert werden.

2. Verhängung eines Bußgeldes, § 43 BDSG

Bei Verstößen gegen Datenschutzvorschriften droht nach dieser Vorschrift ferner die Verhängung eines Bußgeldes von bis zu 50.000,00 EUR, in Teilbereichen bis zu 300.000,00 EUR (z.B. bei unbefugter Erhebung oder Verarbeitung personenbezogener Daten, die nicht allgemein zugänglich sind) durch die zuständige Aufsichtsbehörde.

3. Verhängung einer Freiheitsstrafe oder Geldstrafe, § 44 BDSG

In besonders schwerwiegenden Fällen droht nach dieser Vorschrift die Verhängung einer Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe.

4. Schadensersatzpflicht, § 7 BDSG

Nach dieser Vorschrift hat die verantwortliche Stelle dem Betroffenen den Schaden zu ersetzen, der ihm durch eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten entstanden ist.

5. Arbeitsrechtliche Konsequenzen

Für Beschäftigte drohen bei Verstößen gegen datenschutzrechtliche Bestimmungen arbeitsrechtliche Konsequenzen bis hin zur außerordentlichen (fristlosen) Kündigung

6. Imageverlust des Unternehmens

Nicht zuletzt droht bei Verletzung datenschutzrechtlicher Bestimmungen ein erheblicher, nur schwer zu behebender Imageverlust der betroffenen verantwortlichen Stelle.

7. Haftungsfälle aus der Praxis

Wie zahlreiche Fälle aus der Praxis zeigen, werden – insbesondere grobe – Verstöße gegen datenschutzrechtliche Bestimmungen konsequent verfolgt. Nachfolgend einige Beispiele:

- GPS-Ortung von Fahrzeugen

So hat etwa der Hamburgische Datenschutzbeauftragte gegen ein bekanntes Mietwagenunternehmen, das seine Fahrzeuge mittels GPS ortete, ein Bußgeld in Höhe von 54.000,00 EUR verhängt.

Quelle:

http://www.datenschutz-hamburg.de/news/detail/article/unzulaessige-gps-ortung-von-mietwagen.html

- Übermittlung von Kontodaten

Ein anderes Unternehmen hatte unzulässigerweise Kontodaten und Daten über Ort, Zeitpunkt und Höhe von Zahlungsvorgängen weitergegeben. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen verhängte ein Bußgeld in Höhe von 60.000,00 EUR.

Quelle:

https://www.ldi.nrw.de/mainmenu_Service/submenu_Pressemitteilungsarchiv/Inhalt/PM_Datenschutz/Inhalt/2011/Easycash/Easycash.php

- Zugriff auf Kontobewegungsdaten

In einem anderen Fall ermöglichte ein Unternehmen seinen freien Handelsvertretern für Vertriebszwecke den Zugriff auf die Kontobewegungsdaten seiner Kunden. In diesem Fall verhängte der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen ein Bußgeld, in Höhe von 120.000,00 EUR.

Quelle:

https://www.ldi.nrw.de/mainmenu_Service/submenu_Pressemitteilungsarchiv/Inhalt/PM_Datenschutz/Inhalt/2010/Bussgeld_gegen_Postbank/Bussgeld_gegen_Postbank.php

- Verwendung von Social Plugins (z. B. Facebooks "Gefällt mir-Button")

Weit verbreitet ist beispielsweise auch der Einsatz von Facebooks „Gefällt Mir-Button“ oder Fanpages auf der eigenen Homepage. Nach einem aktuellen Gutachten des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD; abrufbar unter: https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf) verstößt das Betreiben einer Fanpage und die Einbindung von Social-Plugins von Facebook gegen nationales und europäisches Datenschutzrecht. Anwender in Schleswig-Holstein wurden deshalb in diesem Gutachten ultimativ zur Unterlassung aufgefordert. Des Weiteren erging von Seiten des ULD der Hinweis, dass nach einer Umsetzungsfrist von einem Monat Anwender im Einzelfall aufgefordert werden können, eine derartige Datenverarbeitung einzustellen, verbunden mit dem Hinweis einer Untersagung gem. § 38 V BDSG und eines Bußgeldverfahrens gem. § 16 TMG und/oder § 43 BDSG.

- Heimliches Anbringen eines GPS-Senders

In einem weiteren Fall hat das LG Lüneburg (Beschluss vom 28.03.2011, Az. 26 Qs 45/11) festgestellt, dass das verdeckte Anbringen eines GPS-Senders an einem fremden Pkw zur Erstellung eines Bewegungsprofils eine Straftat nach § 44 I, 43 II Nr. 1 BDSG darstellt.

- Nutzung eines fremden W-LAN-Anschlusses

Das AG Wuppertal hat in einem Beschluss vom 03.08.2010, Az. 26 Ds 10 Js 1977/08 (282/08), 26 Ds-10 Js 1977/08-282/08, festgestellt, dass die Nutzung eines fremden unverschlüsselten W-LAN-Anschlusses durch einen Nichtberechtigten eine Straftat darstellt, wenn der fremde Internetzugang für illegale Zwecke oder zur Ausspähung genutzt wird.

- Einsichtnahme in Beurteilungsdaten

Das Arbeitsgericht Osnabrück hat in einem Urteil vom 19.03.1997, Az. 1 Ca 639/96 festgestellt, dass die rechtswidrige und nach § 43 BDSG strafbare Einsichtnahme in Dateien mit vertraulichen Beurteilungsdaten einen schweren Vertrauensbruch darstellt, der u.U. eine außerordentliche (fristlose) Kündigung, jedenfalls jedoch eine ordentliche Kündigung zu rechtfertigen vermag. Eine vorherige Abmahnung des Arbeitnehmers ist nach Ansicht des Gerichts in einem solchen Fall nicht erforderlich.

- Offener E-Mail-Verteiler

Bei Datenschutzverstößen von Angestellten kann die zuständige Datenschutzbehörde auch unmittelbar gegen den jeweiligen Mitarbeiter ein Bußgeld verhängen, § 43 BDSG. So hat das Bayerische Landesamt für Datenschutzaufsicht laut einer Pressemitteilung vom 28.06.2013 ein solches Bußgeld gegen die Mitarbeiterin eines Unternehmens verhängt, die mit einem offenen E-Mail-Verteiler versehentlich personenbezogene E-Mail-Adressen an zahlreiche Empfänger übermittelt hat.

Zudem hat das Amt angekündigt, dass es zukünftig in gleichgelagerten Fällen auch Bußgelder gegen die Unternehmensleitungen direkt verhängen will, "da in manchen Unternehmen dieser Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird, d.h. von Seiten der Unternehmensleitung die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht werden".

Quelle:

Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht vom 28.06.2013, abzurufen unter: http://www.lda.bayern.de/lda/datenschutzaufsicht/p_archiv/2013/pm004.html

Tipp: Derartige Fehler und damit einhergehende Bußgelder für Mitarbeiter und Vorgesetzte sind bei entsprechender Sensibilisierung der handelnden Personen durch einen (externen) betrieblichen Datenschutzbeauftragten im Wege regelmäßiger Schulungen kostengünstig und vergleichsweise leicht zu vermeiden. Schließlich genügt es bei einer Massen-E-Mail, deren Empfängeradressen für die jeweils anderen nicht sichtbar sein soll, die E-Mail-Adressen nicht in die Felder „An“, „Empfänger“ oder „Cc“ (carbon copy), sondern in das Feld „Bcc“ (blind carbon copy) einzufügen. In dieses Feld eingetragene E-Mail-Adressen werden gerade nicht offen übertragen.