Abo

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (17): Die Bußgeldpraxis : aus der RDV 1/2015, Seite 26 bis 28

Ausgewählt und kommentiert von Prof. Peter Gola, Königswinter*

Prof. Peter Gola
Lesezeit 5 Min.

In Ausübung pflichtgemäßen Ermessens kann die Behörde gegen Datenschutzverstöße mit Durchsetzungs- und Sanktionsmaßnahmen vorgehen.

U.a. ist sie zur Verhängung von Zwangsgeldern zur Durchsetzung angeordneter Maßnahmen zur Beseitigung von Verstößen im Rahmen der Anforderungen nach § 9 BDSG bzw. zum Verbot des Einsatzes einzelner Verfahren (§ 38 Abs. 5 S. 1 und 2 BDSG) befugt.

Ferner hat sie das Recht zur Durchführung von Bußgeldverfahren nach § 43 BDSG, sofern ihr die Aufgabe – was regelmäßig der Fall ist – zugewiesen ist. Ziel des Ordnungswidrigkeitsverfahrens ist es, Verstöße gegen das Bundesdatenschutzgesetz zu ahnden und auf diesem Wege eine Änderung im Verhalten des Verstoßenden zu erreichen. Dabei geht es im Wesentlichen einmal um Verstöße gegen Formalien des BDSG und zum anderen gegen inhaltliche Vorgaben des BDSG. Erstere können mit einem Bußgeld bis zu 50.000 Euro, letztere mit bis zu 300.000 Euro geahndet werden. Dabei wird die Höhe der Geldbuße durch die Bedeutung der Ordnungswidrigkeit und des Vorwurfs, der den Täter trifft, bestimmt. Es wird also die vorsätzliche Übermittlung von Gesundheitsdaten mit einem höheren Bußgeld geahndet als die versehentliche Herausgabe von Kundendaten eines Tabakgeschäftes, wobei die Herausgabe eines Datensatzes weniger schwer wiegt als die Herausgabe vieler Datensätze. Finden Vorgänge mehrfach statt, schlägt in dem Bußgeld jeder Verstoß zu Buche. Letztlich ist die Höhe des Bußgeldes immer anhand des Einzelfalls und der damit einhergehenden Besonderheiten festzulegen. An die eben genannten Obergrenzen ist die Behörde bei der Bemessung der Geldbuße allerdings dann nicht gebunden, wenn durch den zu ahndenden Verstoß ein wirtschaftlicher Vorteil über diesen Betrag hinaus entstanden ist. Diesen Vorteil soll die Geldbuße auf jeden Fall übersteigen.

Festzustellen ist, dass die Zahl der verhängten Bußgelder und speziell ihre Höhe in jüngster Zeit zugenommen haben. Gleichwohl sind extreme Beispiele, wie die im Jahren 2008/9 gegen die Deutsche Bahn und gegen den Discounter Lidl verhängten Bußgelder in Höhe von 1,12 Mio. EUR bzw. 1,462 Mio. EUR, nicht der Normalfall. Beträge im fünf und sechsstelligen Bereich sind aber keine Ausnahmen mehr. 2010 hatte der LfDI NW die Postbank wegen unzulässiger Übermittlung von Kundendaten zu Vertriebszwecken an für die Bank tätige freie Handelsvertreter mit 120 000,00 Euro belegt.

Das höchste im Jahre 2010 verhängte Bußgeld in Höhe von 200 000,00 Euro sah der HambBfDI als angemessene Sanktion gegenüber der Hamburgischen Sparkasse an, die ihren Kunden Psychoprofile zuordnete und die Daten auch ihren freien „Beratern“ übermittelte.

In den jüngsten Tätigkeitsberichten der Aufsichtsbehörden wird in unterschiedlichen Umfang über die Bußgeldpraxis berichtet. Erkennbar sind aber durchaus verschiedene Vorgehensweisen.

  • Das LDA Brandenburg berichtet für den Zeitraum 2012/13 von 19 Ordnungswidrigkeitsverfahren mit zwei Verwarnungen und 17 Bußgeldfestsetzungen. Insgesamt betrug die Bußgeldsumme 10.300 EUR (TB 2012/2013, S. 131).
  • Der LfDI Rheinland-Pfalz hat seit 2013 eine eigene Bußgeldstelle, die aus ahndbaren Datenschutzverstößen jährlich etwa ein Dutzend Fälle mit exemplarischer und öffentlichkeitswirksamer Bedeutung auswählt und sanktioniert. Dabei fielen Beträge in fünfstelliger Höhe an (24. TB, 2012/2013, S. 97).
  • Das BayLDA berichtet für die Jahre 2011 und 2012 – ohne Beträge zu nennen – von 30 bzw. 144 Ordnungswidrigkeitsverfahren (5. TB, 2011/2012, S. 9).
  • Der Hamburgische Datenschutzbeauftragte verhängte im Berichtsjahr 2012/2013 Bußgelder in Höhe von 234.540 EUR, wobei der Großteil hiervon auf das Bußgeldverfahren gegen Google im Zuge des Panoramadienstes Google Street View aufgrund der unverschlüsselten Speicherung von Daten, die über WLANs übertragen wurden, entfiel (24. TB, 2012/2013, S. 190). In den Berichtsjahren zuvor (23. TB, 2010/2011) gab es insgesamt 13 Ordnungswidrigkeitenverfahren. Ferner wurden 3 Strafanträge gestellt. Ein europaweit tätiges Mietwagenunternehmen zahlte 54 000,00 Euro wegen ohne Information der Kunden im Wagen installierter und betriebener Ortungssysteme.
  • Der ThüringerLfDI macht zwar wegen der Sensibilität von Berichten über Datenschutzverstöße im Ordnungswidrigkeitenbereich nur allgemeine Aussagen. In dem 2014 vorgelegten Tätigkeitsbericht zeigt er auf, dass seit der Übernahme dieses Bereiches durch seine Behörde die Fallzahlen von 2011 auf 2012 um 100 % und von 2012 zu 2013 gar um 250 % angestiegen sind. Die Tendenz sei weiterhin steigend (1. TB zum Datenschutz: Nicht-öffentlicher Bereich 2012/ 2013, S. 94).
  • Seitens des LDI Nordrhein-Westfalens wurden im Berichtszeitraum 2011/2012 Bußgelder in Höhe von 60.000 EUR verhängt (21. TB, 2011/2012, S. 19). Im Jahre 2014 wurde gegen eine Autowaschanlagen betreibende Firma ein Bußgeld in Höhe von insgesamt 64 000,00 Euro verhängt, und zwar 54 000,00 Euro wegen unzulässiger Videokontrolle und 10 000,00 Euro wegen der Nicht-Bestellung eines Datenschutzbeauftragten.
  • Das ULD Schleswig-Holstein hat zuletzt wegen nicht gesicherter Speicherung von Patientendaten Bußgelder von insgesamt 100 000,00 € verhängt.

Seit 2009 müssen Unternehmen Datenpannen gemäß § 42a S. 1 BDSG der Aufsichtsbehörde und dem Betroffenen melden. Wird die Mittelung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht, handelt die verantwortliche Stelle ordnungswidrig (§ 43 Abs. 2 Nr. 7 BDSG). Für Anbieter von Telemediendiensten gilt §42a BDSG gemäß der Verweisung in § 15a TMG entsprechend. Ein Bußgeld droht hier bei einer Verletzung der Informationspflicht nicht, da § 15a TMG nur ausschließlich auf § 42a BDSG verweist (vgl. Gabel in Taeger/Gabel, BDSG § 42a Rn. 3).

Für Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste (§ 3 Nr. 6 TKG) begründet § 109a TKG die Informationspflicht bei Datenpannen. Nach § 109a Abs. 1 S. 1 TKG muss im Falle eines jeglichen Datenverlusts regelmäßig eine Benachrichtigung der von der Datenpanne betroffenen Personen erfolgen. Nach § 109a Abs. 1 S. 2 TKG kann sie entfallen, wenn die abhanden gekommenen Daten – z.B. durch Verschlüsselung – gesichert waren. Zudem muss von der Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur und der Bundesbeauftragte für Datenschutz und Informationsfreiheit benachrichtigt werden. Verstöße gegen § 109a TKG können gemäß § 115 Abs. 2 S. 1 Nr. 2 TKG durch Zwangsgelder durchgesetzt und nach § 149 Abs. 1 Nr. 21b, 21c, Abs. 2 TKG mit Bußgeldern bis zu 100 000 Euro geahndet werden. Zuständig ist die Bundesnetzagentur. (§ 149 Abs. 3 TKG). Für die zweite Jahreshälfte 2012 wurden 27 Datenpannen gemeldet, 2013 waren es 66 Fälle. Ein Bußgeld wegen nicht gemeldeter Fälle wurde bis dato nicht verhängt. Letzteres bzw. ihre insoweit mangelnde Zuständigkeit in einem so zentralen Bereich wie der Telekommunikation beklagt die BfDI: „Wir fordern schon seit Jahren im Telekommunikations- und Postbereich wirksame Befugnisse zur Durchsetzung des Datenschutzrechts, wie sie die Datenschutzaufsichtsbehörden in den Ländern gegenüber der übrigen Privatwirtschaft seit Jahren haben. Dazu gehört auch die Verhängung von Bußgeldern“. Bislang hat die Politik diese Forderung aber nicht aufgegriffen.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.