Das Datenschutzrecht hat in der öffentlichen Diskussion auf Grund verschiedener Datenschutzvorfälle an Bedeutung gewonnen. Dennoch unterschätzen viele Unternehmen nach wie vor die Risiken, die mit einer Nichtbeachtung der datenschutzrechtlichen Vorschriften einhergehen. Der Einsatz eines Datenschutzbeauftragten und die Beachtung datenschutzrechtlicher Vorgaben im Übrigen werden von den Unternehmen als zu hoher Kostenfaktor empfunden. Dennoch drohen bei Überprüfung durch die Aufsichtsbehörden rechtliche Konsequenzen, die wiederum auch eine Kostenbelastung darstellen können. Dieser Beitrag soll klären, was bei einem Verstoß gegen die datenschutzrechtlichen Vorschriften drohen kann, insbesondere dann, wenn kein Datenschutzbeauftragter bestellt wurde.
Nachdem der Datenschutz lange ein Thema für Spezialisten gewesen ist, wurde inzwischen durch die zahlreichen Datenschutzskandale auch die Öffentlichkeit aufgeschreckt. In den letzten Jahren wurde bekannt, dass viele Mitarbeiter von Arbeitgebern heimlich durch Kameras überwacht und Datensätze gestohlen wurden. Daneben wurde der illegale Handel mit umfangreichen Datensätzen publik. Zunehmend werden verbesserte Datenschutzregeln und die konsequente Ahndung von Verstößen gefordert.
Organisation der Datenschutzaufsicht in Deutschland
Im Bereich der Datenschutzaufsicht liegt die Verantwortung für fast alle Bereiche bei den Bundesländern und nicht beim Bund. Eine zentrale Kontrollstelle, die den Behörden der Länder Anweisungen erteilen könnte, existiert nicht. Eine unterschiedliche Praxis der Aufsichtsbehörden ist damit möglich. Bei bundesweit handelnden Unternehmen kann sich auch die Zuständigkeit mehrerer Aufsichtsbehörden für ein Unternehmen ergeben. Damit es bei der Behandlung von Rechtsfragen nicht zu Streitfällen kommt, sprechen sich die Aufsichtsbehörden im Regelfall untereinander ab (z.B. im Rahmen des Düsseldorfer Kreises). In diesem Zusammenhang lesenswert ist das kürzlich ergangene EuGH-Urteil, wonach die bisherige staatliche Aufsicht über deutsche Datenschutz-Aufsichtsbehörden gegen das Europarecht verstößt, da die Datenschutz-Aufsichtsbehörden ihre Aufgaben "in völliger Unabhängigkeit" wahrnehmen müssen
Klassische Aufgabe der Aufsichtsbehörden
Die Aufgaben der Datenschutzbehörde werden in § 38 Bundesdatenschutzgesetz ("BDSG") normiert. Die klassische Aufgabe der Aufsichtsbehörden ist die Kontrolle, sei es die anlassbezogene Kontrolle oder die Stichprobenüberprüfung.
Vorgehensweise der Behörden im Datenschutzrecht
Erhält die Behörde von einem Verstoß gegen das Datenschutzrecht Kenntnis, wird diese in der Regel das Unternehmen mit dem Sachverhalt konfrontieren und um fristgebundene Stellungnahme bitten. Bei Gefahr im Verzug oder bei stichprobenartigen Kontrollen kann auch direkt eine umfassende Überprüfung vorgenommen werden. Wird dann ein Verstoß festgestellt, so besteht unter anderem die Möglichkeit ein Bußgeld nach § 43 BDSG zu verhängen.
Welche Rechtsfolge tritt ein, wenn trotz einer Verpflichtung kein Datenschutzbeauftragter ernannt wird?
Unternehmen mit mehr als neun Mitarbeitern, die computergestützt mit personenbezogenen Daten (also insbesondere Mitarbeiter- und Kundendaten) arbeiten, benötigen gemäß § 4f BDSG einen internen oder externen Datenschutzbeauftragten (die Verpflichtung kann sich im Einzelfall sogar bereits früher ergeben). Obwohl diese Verpflichtung seit Jahren besteht, sind viele Unternehmen diesem Erfordernis bisher nicht nachgekommen.
Der Verstoß gegen diese Verpflichtung stellt jedoch eine Ordnungswidrigkeit dar, die mit einem Bußgeld bis zu 50.000,- Euro geahndet werden kann. Die maximale Bußgeldhöhe wurde im Rahmen der Novellierung des BDSG nochmals erhöht.
Bußgeld nach § 43 BDSG möglich
Alle Bußgeldtatbestände aufzuführen würde den Rahmen sprengen. Herausgegriffen sei im Folgenden exemplarisch § 43 Abs. 1 Nr. 2 BDSG:
"Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […] einen […] (Datenschutzbeauftragten) nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt […]."
Daneben lautet Absatz 3 der Vorschrift:
"Die Ordnungswidrigkeit kann im Falle des Absatzes 1 mit einer Geldbuße bis zu 50.000,- Euro […] geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die […] genannten (50.000,- Euro) […] hierfür nicht aus, so können sie überschritten werden."
Was wird von diesem Tatbestand genauer umfasst?
Zweifelsfrei umfasst ist der Tatbestand, dass ein Unternehmen trotz der Verpflichtung aus § 4f BDSG einen Beauftragten nicht oder zu spät bestellt.
Wird ein Beauftragter für den Datenschutz zwar formell bestellt, ist er aber außerstande, diese Funktion auszuführen oder erfüllt er eindeutig die Qualifikationsvoraussetzungen nicht, liegt ebenfalls keine wirksame Bestellung vor und ist damit der Tatbestand der Ordnungswidrigkeit erfüllt.
Bußgeld auch bei mangelnder Schriftlichkeit der Bestellung möglich
Weiter wird der Fall sanktioniert, dass die Bestellung nicht schriftlich erfolgt ist ("nicht in der vorgeschriebenen Weise"). Der Fall, dass ein Beauftragter bestellt ist, aber pflichtwidrig untätig bleibt, ist nicht gemeint (Anmerkung: Er wird wegen des strafrechtlichen Bestimmtheitsgebotes nicht umfasst, da die für die juristische Auslegung relevante Wortlautgrenze so überschritten werden würde).
Ermessen der Behörde
Die für die Verfolgung und Ahndung zuständigen Behörden haben bei der Festsetzung des Bußgelds einen Ermessensspielraum. Die Bußgeldhöhe ist dabei so zu bestimmen, dass sie ausreichend abschreckend wirkt. Welches Bußgeld festgesetzt werden muss, bestimmt sich nach den Umständen des Einzelfalls. Es können auch die wirtschaftlichen Verhältnisse des Unternehmens einen Ausschlag geben. Dies kann unter anderem vor allem dann angezeigt sein, wenn das Unternehmen aus Kostengründen die Ordnungswidrigkeit begangen hat. Die Geldbuße sollte dann höher ausfallen, als der wirtschaftliche Vorteil, den das Unternehmen durch die Nichtausführung erlangt hat. Die Regelung entspricht insoweit § 17 Abs. 4 des OWiG.
Sinn der Bußgeldregelung
Mit der Bußgeldbewährung soll verhindert werden, dass sich die Begehung einer Ordnungswidrigkeit für den Täter in irgendeiner Weise lohnt. Bei einer durchgeführten Saldierung soll der Täter erkennen, dass er die falsche Wahl getroffen hat, um sich dann entsprechend seinem Kostenrisiko das nächste Mal für den richtigen Weg zu entscheiden.
Folgen für die Praxis
Gerade dies kann auch in der nächsten Zeit zu Lasten der Unternehmen ausfallen: es kann passieren, dass die einzelnen Aufsichtsbehörden gerade deswegen hohe Bußgelder erlassen werden, um eine gewisse Abschreckungswirkung zu erzielen. Nicht zuletzt aus diesem Grund hat der Gesetzgeber im vergangenen Jahr den Bußgeldrahmen von 25.000,- Euro auf 50.000,- Euro erhöht.
Fazit
Für Unternehmen, die einen Datenschutzbeauftragten nicht, zu spät oder nicht in der erforderlichen Weise bestellt haben, besteht ein bußgeldbewährtes Kontroll-Risiko. Seit September 2009 haben die Aufsichtsbehörden die Möglichkeit, bei der Festlegung der Bußgeldhöhe die durch die Nicht-Einhaltung dieser Vorschrift eingesparten Kosten in voller Höhe zu berücksichtigten. Zudem wird die Einhaltung datenschutzrechtlicher Vorschriften nicht nur von den Aufsichtsbehörden sondern zunehmend auch von Mitarbeitern, Kunden und Wettbewerbern eingefordert. (oe)
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsassessorin.
Kontakt:
IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de