Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

17
Alte und neue Strafmöglichkeiten der Datenschutzaufsicht Eine Zwischenbilanz nach vier Jahren Datenschutz-Novellen Dr. Eugen Ehmann 1

description

Alte und neue Strafmöglichkeiten der Datenschutzaufsicht . Eine Zwischenbilanz nach vier Jahren Datenschutz-Novellen Dr. Eugen Ehmann. Überblick zum Inhalt . Zum Einstieg: der „an/cc/bcc-Fall“ Unterschied „Bußgeld / Zwangsgeld“ Neue Bußgeldregelungen seit 2009 - PowerPoint PPT Presentation

Transcript of Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

Page 1: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

1

Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

Eine Zwischenbilanz nach vier Jahren Datenschutz-Novellen

Dr. Eugen Ehmann

Page 2: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

2

Überblick zum Inhalt

1. Zum Einstieg: der „an/cc/bcc-Fall“2. Unterschied „Bußgeld / Zwangsgeld“3. Neue Bußgeldregelungen seit 2009 4. Bußgeld gegen die Unternehmensleitung ?5. Bußgeld gegen das Unternehmen selbst?6. Ahndungsverhalten bundesweit7. Zum Kontrast: ein teures Beispiel8. Einige Tipps zum Abschluss

Page 3: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

3

1. Zum Einstieg: der „an/cc/bcc – Fall“- Sachverhalt -

Eine Mitarbeiterin eines bayerischen Handels-unternehmens verschickt eine Mail an Kunden des Unternehmens. Der Ausdruck umfasst 10 Seiten, die sich so zusammensetzen: 9, 5 Seiten mit Mailadressen der Kunden 0,5 Seiten mit der Standardmitteilung, man werde sich

zeitnah um die Anliegen der Kunden kümmern.Die Adressen der Kunden waren in das „An-Feld“ gesetzt. Dadurch konnte jeder Kunde die Mail-adressen aller anderen Kunden sehen.

Page 4: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

4

1. Zum Einstieg: der „an/cc/bcc – Fall“- Sanktionen und deren Ankündigung -

Sanktion gegen die konkrete Mitarbeiterin„Ein Bußgeld“, dessen Höhe das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nicht nennen will. Es dürfte bei 500 – 1000 € liegen (Begründung siehe Folie 15! ).

Künftige Sanktionen gegen Unternehmensleitungen „Da in manchen Unternehmen dieser Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird, d.h. von Seiten der Unternehmensleitung die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht werden, wird das BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeld-bescheid nicht gegen den konkreten Mitarbeiter, der die Mail mit offenem E-Mail-Verteiler versandt hat, erlassen, sondern gegen die Unternehmensleitung.“ (Pressemitteilung BayLDA 28.9.2013)

Page 5: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

5

1. Zum Einstieg: der „an/cc/bcc – Fall“- Datenschutzrechtlicher Verstoß -

(Es) handelt sich bei jedem einzelnen Adressdatum … im offenen Verteiler … um die Übermittlung personenbezogener Daten. Diese Übermittlung ist … nicht erforderlich und damit datenschutzrechtlich unzulässig.

Mit der Datenübermittlung werden Empfänger gegen ihren Willen als Kunde oder Kontaktperson des Unternehmens „geoutet“.

Hinzu kommt, dass andere E-Mail- Empfänger die erhaltenen E-Mail-Adressen ihrerseits für unverlangte Werbe-E-Mails nutzen können.

Zudem werden … die E-Mail-Adressen der Empfänger einer kaum einschätzbaren Gefährdung durch Schadprogramme ausgesetzt (wenn z. B. auch nur ein einziger E-Mail-Empfänger nicht über einen aktuellen Virenschutz verfügt).

Quelle: Hessischer Datenschutzbeauftragter, 41. Tätigkeitsbericht v. 16.4. 2013, Ziffer 4.4

Page 6: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

6

2. Unterschied Bußgeld / Zwangsgeld- Das Prinzip-

Bußgeld ahndet ein Fehlverhalten wird nur einmal verhängt Fehlverhalten damit für den Staat „erledigt“

Zwangsgeld dient der Durchsetzung behördlicher Anordnungen kann mehrfach verhängt und vollstreckt werden wird nicht mehr vollstreckt, wenn die Anordnung doch

noch befolgt wird

Page 7: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

7

2. Unterschied Bußgeld / Zwangsgeld- Rechtsgrundlagen -

Bußgeld § 43 Bundesdatenschutzgesetz (BDSG) Bundeseinheitliche Regelung (gültig vor allem

für Privatunternehmen)

Zwangsgeld Verwaltungsvollstreckungsgesetze der Länder Nach Ländern divergierende Regelungen

Page 8: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

8

2. Unterschied Bußgeld / Zwangsgeld- Wann ist was angezeigt? -

Häufiger PraxisfallUnternehmen erteilt geforderte Auskünfte nicht ZwangsgeldSoll dafür sorgen, dass Auskunft doch noch kommt!Bußgeld Ahndet, dass die Auskunft nicht oder verspätet erteilt wurde! Kombination beider MaßnahmenWegen der unterschiedlichen Zielrichtung beides „nebeneinander“ möglich!

Page 9: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

9

3. Neue Bußgeldregelungen seit 2009- Anlass und Wahrnehmung -

Anlass: Novelle(n) des BDSG in diesem Jahr Stark beachtet: Erhöhung des maximalen

Bußgeldrahmens auf 300.000 € (vorher immerhin auch schon 250.000 €)

Weithin übersehen: Ausweitung der Tatbestände auf nahezu jeden denkbaren Verstoß gegen das BDSG

Page 10: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

10

3. Neue Bußgeldregelungen seit 2009- Kritisches Wort zum Thema -

Es ist einfacher, „einen Wust unübersichtlicher Normen zu erlassen und deren Übertretung mit Strafe zu bedrohen als schon bei der Regelung der Grundmaterie mit der gebotenen Behutsamkeit zu verfahren und Strafen nur in ernst liegenden Fällen anzudrohen.“

Quelle: Maurach/Zipf, Strafrecht, Allgemeiner Teil, 7. Auflage 1987, § 2 Rdnr. 14

Page 11: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

11

4. Bußgeld gegen die Unternehmensleitung ?- Unzureichende Aufsicht -

„Compliance“ hilft hier als Begriff nicht weiter! Aber: § 130 OwiG!„Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen …handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.“

Page 12: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

12

5. Bußgeld gegen das Unternehmen selbst?- „Verbandsgeldbuße“ 1 -

§ 30 Abs. 1 OwiG: "Hat jemand 1.als vertretungsberechtigtes Organ einer juristischen Person oder als Mitglied eines solchen Organs,2.als Vorstand eines nicht rechtsfähigen Vereins oder als Mitglied eines solchen Vorstandes, … eine Straftat oder Ordnungswidrigkeit begangen, durch die Pflichten, welche die juristische Person oder die Personenvereinigung treffen, verletzt worden sind …., so kann gegen diese eine Geldbuße festgesetzt werden.“

Page 13: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

13

5. Bußgeld gegen das Unternehmen selbst?- „Verbandsgeldbuße“ 2 -

Hindernisse der Praxis: Das Begehen einer Ordnungswidrigkeit durch eine

unternehmensangehörige Person, die nicht als „Leitungsperson" anzusehen ist, führt nicht zur Anwendbarkeit von § 30 OWiG!

Praxisfall: Verkauf einer gebrauchten ungelöschten Festplatte mit personenbezogenen Daten; Verdacht eines Verstoßes gegen § 43 Abs. 2 Nr. 1 BDSG;

Aber: Einstellung des Verfahrens, „weil sich nicht mehr aufklären ließ, wer von den Mitarbeitern des Unternehmens für die Löschung der Festplatte verantwortlich war“.

Quelle: Regierung von Mittelfranken, 1. Tätigkeitsbericht (2002/2003), S. 41.

Page 14: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

14

6. „Ahndungsverhalten“ bundesweit- zum Einstieg -

Ähnlicher als man vermuten könnte! Beispiel: Verstoß gegen

Auskunftsverpflichtung ( § 43 Abs. 1 Nr. 10 BDSG):

Baden – Württemberg 2007 : 500 € Bremen 2009 : 800 € Hessen 2009 : 1000 €

Page 15: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

15

6. „Ahndungsverhalten“ bundesweit- Kriterien der Bußgeldhöhe-

Am Beispiel des Einstiegsfalls von Folie 3 („Mailverteiler“) !

Zu bedenken sind vor allem: Offensichtlich „nur“ fahrlässiges Verhalten Folgen für die Betroffenen wohl nicht zu gravierend Einkommensverhältnisse (Mitarbeiterin im Back-

Office?! 2000 € netto im Monat?!) Parallelen zum Strafrecht („Was kostet eine

Körperverletzung, etwa im Straßenverkehr“?)Ergebnis recht sicher : 500 – 1000 €

Page 16: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

16

7. Zum Kontrast: ein teures Beispiel

Unzulässige Zugriffsmöglichkeit auf Kundendaten einer Hamburger Bank durch „mobile Vertriebsmitarbeiter“ (freie Finanzberater) ohne Vorliegen der erforderlichen Einwilligung der Betroffenen (Fall der Übermittlung gemäß § 3 Abs.4 Nr. 3b BDSG)

2007 -2010 über 600 Abrufe nachweisbar Bußgeld 200.000 € (wohl „Verbandsgeldbuße“

gemäß § 30 OwiG)Quelle: Hamburg, 23. Tätigkeitsbericht 2010 / 2011

Page 17: Alte und neue Strafmöglichkeiten der Datenschutzaufsicht

17

8. Einige Tipps zum Abschluss

Vernünftig ausgestatteter (!) interner Datenschutzbeauftragter fängt das Meiste schon im Vorfeld auf!

Schulungen der Belegschaft zahlen sich ausDasselbe gilt für klare organisatorische

Festlegungen und HandlungsanweisungenHäufigster Bußgeldgrund: Verweigerung von

Auskünften an die Aufsichtsbehörde selbst bei wiederholter Aufforderung – leicht vermeidbar!