PowerPoint-Präsentation

Report
Alte und neue Strafmöglichkeiten
der Datenschutzaufsicht
Eine Zwischenbilanz nach vier Jahren
Datenschutz-Novellen
Dr. Eugen Ehmann
1
Überblick zum Inhalt
1.
2.
3.
4.
5.
6.
7.
8.
Zum Einstieg: der „an/cc/bcc-Fall“
Unterschied „Bußgeld / Zwangsgeld“
Neue Bußgeldregelungen seit 2009
Bußgeld gegen die Unternehmensleitung ?
Bußgeld gegen das Unternehmen selbst?
Ahndungsverhalten bundesweit
Zum Kontrast: ein teures Beispiel
Einige Tipps zum Abschluss
2
1. Zum Einstieg: der „an/cc/bcc – Fall“
- Sachverhalt Eine Mitarbeiterin eines bayerischen Handelsunternehmens verschickt eine Mail an Kunden des
Unternehmens. Der Ausdruck umfasst 10 Seiten,
die sich so zusammensetzen:
 9, 5 Seiten mit Mailadressen der Kunden
 0,5 Seiten mit der Standardmitteilung, man
werde sich zeitnah um die Anliegen der Kunden
kümmern.
Die Adressen der Kunden waren in das „An-Feld“
gesetzt. Dadurch konnte jeder Kunde die Mailadressen aller anderen Kunden sehen.
3
1. Zum Einstieg: der „an/cc/bcc – Fall“
- Sanktionen und deren Ankündigung  Sanktion gegen die konkrete Mitarbeiterin
„Ein Bußgeld“, dessen Höhe das Bayerische Landesamt für
Datenschutzaufsicht (BayLDA) nicht nennen will. Es dürfte bei
500 – 1000 € liegen (Begründung siehe Folie 15! ).
 Künftige Sanktionen gegen Unternehmensleitungen
„Da in manchen Unternehmen dieser Fragestellung offensichtlich
nicht die entsprechende Bedeutung beigemessen wird, d.h. von
Seiten der Unternehmensleitung die Mitarbeiter entweder nicht
entsprechend angewiesen oder überwacht werden, wird das
BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, der die Mail mit
offenem E-Mail-Verteiler versandt hat, erlassen, sondern gegen
die Unternehmensleitung.“
(Pressemitteilung BayLDA 28.9.2013)
4
1. Zum Einstieg: der „an/cc/bcc – Fall“
- Datenschutzrechtlicher Verstoß  (Es) handelt sich bei jedem einzelnen Adressdatum … im
offenen Verteiler … um die Übermittlung
personenbezogener Daten. Diese Übermittlung ist … nicht
erforderlich und damit datenschutzrechtlich unzulässig.
 Mit der Datenübermittlung werden Empfänger gegen ihren
Willen als Kunde oder Kontaktperson des Unternehmens
„geoutet“.
 Hinzu kommt, dass andere E-Mail- Empfänger die erhaltenen
E-Mail-Adressen ihrerseits für unverlangte Werbe-E-Mails
nutzen können.
 Zudem werden … die E-Mail-Adressen der Empfänger einer
kaum einschätzbaren Gefährdung durch Schadprogramme
ausgesetzt (wenn z. B. auch nur ein einziger E-MailEmpfänger nicht über einen aktuellen Virenschutz verfügt).
Quelle: Hessischer Datenschutzbeauftragter, 41. Tätigkeitsbericht v. 16.4. 2013, Ziffer 4.4
5
2. Unterschied Bußgeld / Zwangsgeld
- Das Prinzip Bußgeld
 ahndet ein Fehlverhalten
 wird nur einmal verhängt
 Fehlverhalten damit für den Staat „erledigt“
 Zwangsgeld
 dient der Durchsetzung behördlicher Anordnungen
 kann mehrfach verhängt und vollstreckt werden
 wird nicht mehr vollstreckt, wenn die Anordnung
doch noch befolgt wird
6
2. Unterschied Bußgeld / Zwangsgeld
- Rechtsgrundlagen Bußgeld
 § 43 Bundesdatenschutzgesetz (BDSG)
 Bundeseinheitliche Regelung (gültig vor allem
für Privatunternehmen)
Zwangsgeld
 Verwaltungsvollstreckungsgesetze der Länder
 Nach Ländern divergierende Regelungen
7
2. Unterschied Bußgeld / Zwangsgeld
- Wann ist was angezeigt?  Häufiger Praxisfall
Unternehmen erteilt geforderte Auskünfte nicht
 Zwangsgeld
Soll dafür sorgen, dass Auskunft doch noch kommt!
 Bußgeld
Ahndet, dass die Auskunft nicht oder verspätet
erteilt wurde!
 Kombination beider Maßnahmen
Wegen der unterschiedlichen Zielrichtung beides
„nebeneinander“ möglich!
8
3. Neue Bußgeldregelungen seit 2009
- Anlass und Wahrnehmung  Anlass: Novelle(n) des BDSG in diesem Jahr
 Stark beachtet: Erhöhung des maximalen
Bußgeldrahmens auf 300.000 € (vorher
immerhin auch schon 250.000 €)
Weithin übersehen: Ausweitung der
Tatbestände auf nahezu jeden denkbaren
Verstoß gegen das BDSG
9
3. Neue Bußgeldregelungen seit 2009
- Kritisches Wort zum Thema Es ist einfacher, „einen Wust unübersichtlicher
Normen zu erlassen und deren Übertretung mit
Strafe zu bedrohen als schon bei der Regelung der
Grundmaterie mit der gebotenen Behutsamkeit zu
verfahren und Strafen nur in ernst liegenden
Fällen anzudrohen.“
Quelle: Maurach/Zipf, Strafrecht, Allgemeiner Teil, 7. Auflage 1987, § 2 Rdnr. 14
10
4. Bußgeld gegen die Unternehmensleitung ?
- Unzureichende Aufsicht  „Compliance“ hilft hier als Begriff nicht weiter!
 Aber: § 130 OwiG!
„Wer als Inhaber eines Betriebes oder Unternehmens
vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen
unterlässt, die erforderlich sind, um in dem Betrieb oder
Unternehmen Zuwiderhandlungen gegen Pflichten zu
verhindern, die den Inhaber treffen …
handelt ordnungswidrig,
wenn eine solche Zuwiderhandlung begangen wird, die
durch gehörige Aufsicht verhindert oder wesentlich
erschwert worden wäre.
Zu den erforderlichen Aufsichtsmaßnahmen gehören auch
die Bestellung, sorgfältige Auswahl und Überwachung von
Aufsichtspersonen.“
11
5. Bußgeld gegen das Unternehmen selbst?
- „Verbandsgeldbuße“ 1 § 30 Abs. 1 OwiG:
"Hat jemand
1.als vertretungsberechtigtes Organ einer
juristischen Person oder als Mitglied eines solchen
Organs,
2.als Vorstand eines nicht rechtsfähigen Vereins
oder als Mitglied eines solchen Vorstandes, …
eine Straftat oder Ordnungswidrigkeit begangen,
durch die Pflichten, welche die juristische Person
oder die Personenvereinigung treffen, verletzt
worden sind …., so kann gegen diese eine Geldbuße
festgesetzt werden.“
12
5. Bußgeld gegen das Unternehmen selbst?
- „Verbandsgeldbuße“ 2 Hindernisse der Praxis:
 Das Begehen einer Ordnungswidrigkeit durch eine
unternehmensangehörige Person, die nicht als
„Leitungsperson" anzusehen ist, führt nicht zur
Anwendbarkeit von § 30 OWiG!
 Praxisfall: Verkauf einer gebrauchten ungelöschten
Festplatte mit personenbezogenen Daten; Verdacht eines
Verstoßes gegen § 43 Abs. 2 Nr. 1 BDSG;
 Aber: Einstellung des Verfahrens, „weil sich nicht mehr
aufklären ließ, wer von den Mitarbeitern des
Unternehmens für die Löschung der Festplatte
verantwortlich war“.
Quelle: Regierung von Mittelfranken, 1. Tätigkeitsbericht
(2002/2003), S. 41.
13
6. „Ahndungsverhalten“ bundesweit
- zum Einstieg  Ähnlicher als man vermuten könnte!
 Beispiel: Verstoß gegen
Auskunftsverpflichtung ( § 43 Abs. 1 Nr. 10
BDSG):
 Baden – Württemberg 2007 : 500 €
 Bremen
2009 : 800 €
 Hessen
2009 : 1000 €
14
6. „Ahndungsverhalten“ bundesweit
- Kriterien der Bußgeldhöhe Am Beispiel des Einstiegsfalls von Folie 3
(„Mailverteiler“) !
 Zu bedenken sind vor allem:
 Offensichtlich „nur“ fahrlässiges Verhalten
 Folgen für die Betroffenen wohl nicht zu
gravierend
 Einkommensverhältnisse (Mitarbeiterin im BackOffice?! 2000 € netto im Monat?!)
 Parallelen zum Strafrecht („Was kostet eine
Körperverletzung, etwa im Straßenverkehr“?)
 Ergebnis recht sicher : 500 – 1000 €
15
7. Zum Kontrast: ein teures Beispiel
 Unzulässige Zugriffsmöglichkeit auf
Kundendaten einer Hamburger Bank durch
„mobile Vertriebsmitarbeiter“ (freie
Finanzberater) ohne Vorliegen der
erforderlichen Einwilligung der Betroffenen
(Fall der Übermittlung gemäß § 3 Abs.4 Nr. 3b
BDSG)
2007 -2010 über 600 Abrufe nachweisbar
 Bußgeld 200.000 € (wohl „Verbandsgeldbuße“
gemäß § 30 OwiG)
Quelle: Hamburg, 23. Tätigkeitsbericht 2010 / 2011
16
8. Einige Tipps zum Abschluss
 Vernünftig ausgestatteter (!) interner
Datenschutzbeauftragter fängt das Meiste schon
im Vorfeld auf!
 Schulungen der Belegschaft zahlen sich aus
 Dasselbe gilt für klare organisatorische
Festlegungen und Handlungsanweisungen
 Häufigster Bußgeldgrund: Verweigerung von
Auskünften an die Aufsichtsbehörde selbst bei
wiederholter Aufforderung – leicht vermeidbar!
17

similar documents