Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Editorial 1/2020: Datenschutz braucht Augenmaß

Die meisten Unternehmen sind redlich bemüht, den Anforderungen des Datenschutzes gerecht zu werden. Aber was ist eine angemessene Maßnahme, wenn etwas schiefgeht? Das kommt auf die Schwere des Falles an.

Bei der telefonischen Kundenbetreuung eines Telefonanbieters wurde nach Abfrage von Name und Geburtsdatum die Telefonnummer eines Kunden versehentlich an dessen ehemaligen Lebenspartner erteilt. Die bei einem Telekommunikationsvertrag anfallenden Daten eines Kunden sind personenbezogen und gehören nicht in falsche Hände. Man darf den Umgang mit ihnen nicht auf die leichte Schulter nehmen. Das Datenschutzrecht macht für die Authentifizierung eines Anrufers bei einer Hotline keine genauen Vorgaben. Sie schreibt abstrakt vor, dass ein Verantwortlicher unter Abwägung der Risiken für den Datenschutz geeignete technische und organisatorische Maßnahmen treffen muss.

Was ist der Stand der Technik bei Telefonauskünften?

Aber wie müssen sie aussehen, wenn es keine klaren Vorgaben gibt? Hat das Problem des Callcenters jede Arztpraxis, die auf telefonische Bitte Blutwerte an einen Patienten verschickt oder sie ihm nennt, ohne ihn vorher am Telefon sicher erkannt zu haben? Hat es nicht auch jeder Handwerker, der bei einem Anruf einem Kunden eine Vertragsauskunft gibt, weil er insoweit nicht anders handelt als es bei der Hotline des Telefonanbieters geschieht? Was darf der geschilderte Vorfall unter diesen Umständen „kosten“? 9,5 Millionen Euro beträgt die Höhe des Bußgeldes, das der Bundesdatenschutzbeauftragte in diesem Fall verhängt hat. Tatsächlich gestattet die DSGVO Bußgelder in einer Höhe von bis zu 4 % des Jahresumsatzes. Nach allem, was man weiß, gab es nach Bekanntwerden des Vorfalls keinen konkreten Hinweis der Behörde, wie man telefonische Auskünfte datenschutzkonform erteilt. Der Telefonanbieter wählte den in der Praxis gebräuchlichen Weg der telefonischen Authentifizierung, wobei es bei Telefonauskünften in der Regel neben Telefonnummern um Vertragsdaten, typischerweise also nicht um telekommunikations- und datenschutzrechtlich sensible Daten geht. Ob das der Stand der Technik für datenschutzkonforme Telefonauskünfte beim Umgang mit nicht sensiblen Daten ist, ist offen.

Ein Bußgeld sanktioniert ohne zu helfen. Helfen würde eine Anweisung.

Der BfDI hat hier – was in rechtlich eindeutigen und gewichtigen Fällen zulässig sein kann – sofort eine Geldbuße verhängt, anstatt eine Abhilfemaßnahme anzuordnen. Anders als eine Anweisung hat die Geldbuße einen rein sanktionierenden Charakter. Stellt die Behörde einen Datenschutzverstoß fest, so kann sie nach Art. 58 DS-GVO vor der reinen Sanktion auch eine Anweisung zur datenschutzkonformen Ausgestaltung und Anpassung des Verfahrens anordnen. Mit dieser Maßnahme ist es der Aufsicht möglich, im ersten Schrift für Abhilfe zu sorgen, ohne sofort auf die Ultima Ratio des Bußgelds zuzugreifen. Die Anweisung muss hierbei so hinreichend bestimmt sein, dass sie umgesetzt werden kann. Dazu sind sowohl Verstöße als auch Maßnahmen zu benennen. Sie hat vor dem Hintergrund der Verhältnismäßigkeit den Vorteil, dass der Verantwortliche von der Aufsichtsbehörde in einer unsicheren Situation und eine Chance bekommt, das Recht so zu befolgen, wie es der Aufsichtsbehörde vorschwebt.

Rechtssicherheit statt Panik

Auf diese Weise kann die Behörde die Praxis positiv prägen, um Sicherheit zu erzeugen. Das bloße Verhängen eines drakonischen Bußgeldes bewirkt gerade bei unklarer Rechtslage das Gegenteil. Niemand weiß, wie die Aufsicht den Stand der Technik nach Art. 32 DS-GVO der mit unbestimmten Rechtsbegriffen gespickt ist, auslegt. Auch ein Telefonpin ist häufig in den Vertragsunterlagen vermerkt, die in Wohnungen von Betroffenen Mitbewohnern zugänglich sind. Wer ihn nennt, kann ihn ebenso unrechtmäßig erworben haben, wie das Wissen über das Alter. Ein Pin zur Authentifizierung bietet also mehr Sicherheit. Aber erfüllt dieser Weg die Anforderungen von Art. 32 DS-GVO? Weil das auch nach Verhängung des Bußgeldes niemand wissen kann, kann man schon an dessen Eignung als geeignete Sanktion Zweifel haben. Wäre nicht die Anordnung ein milderes Mittel gewesen, was für die Herstellung datenschutzkonformer Zustände deshalb effektiver gewesen wäre, weil es Rechtslage jedenfalls aus Sicht der Aufsicht geklärt hätte? Hätte der Fall der Telefonauskunft nicht über eine Anweisung sanktioniert werden sollen, um die Rechtmäßigkeit vor dem Verwaltungsgericht überprüfen zu lassen und nicht im Bußgeldverfahren?

Diese Fragen stehen nun zur Klärung an. Im Rechtsstaat kommt nur der erste Aufschlag von den unabhängigen Datenschutzaufsichtsbehörden. Ob er rechtlich haltbar ist müssen Gerichte entscheiden. Bis dahin muss die Wirtschaft ihr Bestes tun und auf das Augenmaß der Aufsicht hoffen. 

Ihr
Rolf Schwartmann

Rolf Schwartmann

 

>> Aktuelle Bücher und Seminare von Prof. Rolf Schwartmann

>> Zu den Datenschutz-Videos mit Prof. Rolf Schwartmann auf DataAgenda.de

(Teaser Foto: © Fotolia.com)

Passende Artikel
Zeitschrift RDV

Prof. Peter Gola, RA Andreas Jaspers, Prof. Dr. Rolf Schwartmann

155,00 €

Preis für Jahresabonnement Inland