Über Ralph Günther

Als Gründer der exali GmbH verfüge ich über langjährige Erfahrung im Riskmanagement und der Versicherung von IT-Experten, Medienschaffenden und Consultants. Mehr

Zum Versicherungsportal

exali.de - Mein Business bestens versichert

RSS

RSS

Networking

Follow exali on Twitter  

Meta

Diese Seite wird überprüft von der Initiative-S

Datenschutzverstöße und die Jagd auf jene, die mit gezielten Angriffen aber auch aus Unwissenheit rechtliche Vorgaben nicht beachten, sind als Thema in aller Munde. Doch welche Arten von Datenschutzverstößen gibt es eigentlich? Welche strafrechtlichen Folgen drohen? Und welche Risiken haben Freiberufler, die international agieren? Bei Gesprächen stelle ich immer wieder fest: Hier besteht noch einiges an Aufklärungsbedarf. Deshalb habe ich mit den Rechtsexperten Tobias Haar (Schwerpunkt IT-Recht) und Christian Metzger (Daten- und Jugendschutzbeauftragter) gesprochen. Ihre Antworten liefern geballtes Hintergrundwissen.

Arten von Datenschutzverstößen und ihre Folgen

Ein Datenschutzverstoß kann schneller passieren als man denkt. Im Interview erklären Tobias Haar und Christian Metzger, welche Datenschutzverstöße es gibt und wie das Datenschutzrecht in Deutschland Verstöße regelt.

Und ich war selbst überrascht, was alles dahintersteckt. Oder habt Ihr schon mal vom EU-weiten Sitzlandprinzip gehört? Eben… 🙂 Viel Lesevergnügen (und vor allem neuen Input) deshalb beim ersten Teil des Interviews auf meinem Blog.

Welche Arten von Datenschutzverstößen gibt es eigentlich?

Ein Datenschutzverstoß liegt zunächst nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) vor, wenn personenbezogene Daten (pbD) erhoben, verarbeitet oder genutzt werden ohne dass das BDSG oder ein anderes Gesetz dies erlaubt (oder anordnet) oder aber der Betroffene (also die Person, auf welche sich diese Daten beziehen) in die jeweilige Erhebung, Verarbeitung oder Nutzung eingewilligt hat (man spricht von einem Verbot mit Erlaubnisvorbehalt).

Demnach kann ein Datenschutzverstoß nur vorliegen, wenn pbD betroffen sind, also Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Keine personenbezogene Daten sind somit grundsätzlich Daten zu einer juristischen Person wie z.B. einer GmbH oder Daten, bei denen die jeweiligen Einzelangaben über persönliche oder sachliche Verhältnisse einer natürlichen Person (also einem Menschen) nicht mehr oder nur mit unverhältnismäßig hohem Aufwand zugeordnet werden können.

Für die sog. verantwortliche Stelle (das ist jede Person oder Stelle, die pbD für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt) bzw. in besonderen Fällen für denjenigen, der den jeweiligen Datenschutzverstoß begangen hat (im Falle eines Freiberuflers ohne Mitarbeiter dürfte dies regelmäßig zusammenfallen), sind unterschiedliche Konsequenzen denkbar.

Diese können von einer Änderungsverfügung (zur Abstellung des jeweiligen Verstoßes) durch die zuständige Aufsichtsbehörde über ein Bußgeld (beim Vorliegen einer Ordnungswidrigkeit nach § 43 BDSG – in Höhe von bis zu 50.000 EUR bzw. in bestimmten Fällen bis zu 300.000 EUR bis hin zu einer Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe) sowie (wohl in Ausnahmefällen) zu Schadensersatzansprüchen der Betroffenen führen.
Zu beachten ist, dass ein Bußgeld in manchen Fällen höher ausfallen kann – nämlich dann, wenn der wirtschaftliche Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, das Bußgeld übersteigen würde (sog. Gewinnabschöpfung).

Erwähnenswert ist zudem, dass sich die vorstehenden Angaben ausschließlich auf das BDSG beziehen. Dessen Anwendungsbereich ist hingegen dort nicht (oder nur teilweise) eröffnet, wo spezialgesetzlichen Regelungen (z.B. dem Telemediengesetz) Vorrang einzuräumen ist. In den jeweiligen Spezialgesetzen gibt es regelmäßig eigene Regelungen zur Ahndung von Datenschutzverstößen.

Ferner sollte bedacht werden, dass ein Datenschutzverstoß grundsätzlich von jedermann der zuständigen Aufsichtsbehörde mitgeteilt werden kann. Meist erfolgt dies durch einen Betroffenen, der sich in seinem Recht auf informationelle Selbstbestimmung verletzt fühlt. Eine Mitteilung kann aber auch z.B. durch einen unzufriedenen Angestellten oder durch einen früheren Mitarbeiter bzw. durch einen Mitbewerber erfolgen.

Nicht unerwähnt bleiben sollte schließlich, dass dies jeweils für einen Freiberufler ebenso gilt wie für eine juristische Person. Die jeweiligen Ansprüche richten sich zunächst grundsätzlich gegen die verantwortliche Stelle.

Welche strafrechtlichen Folgen kann ein Datenschutzverstoß in Deutschland nach sich ziehen?

Ein strafbarer Datenschutzverstoß ist nur dann gegeben, wenn der Verstoß mindestens vorsätzlich gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen begangen wird. Mithin ist nicht jeder Datenschutzverstoß strafbar. Vielmehr dürfte dies nur in Ausnahmefällen der Fall sein – meist wird wohl eine Ordnungswidrigkeit vorliegen. Und selbst bei einem strafbaren Datenschutzverstoß wird nicht stets von einer Verurteilung zur Höchststrafe auszugehen sein.

Obgleich strafrechtliche Folgen eher die Ausnahme sein dürften, sind andere Folgen für die verantwortliche Stelle regelmäßig deutlich empfindlicher. Insbesondere bei schwerwiegenden Datenschutzverstößen droht der verantwortlichen Stelle ein immenser Imageschaden und damit ein Verlust des Kundenvertrauens. Nicht zuletzt aus diesem Grund sollte stets an ein geeignetes Datenschutzkonzept gedacht und dieses vor allem auch umgesetzt und gelebt werden.

Jedes Land hat sein eigenes Datenschutzrecht. Welche Risiken ergeben sich daraus für international agierende Freiberufler?

Es ist richtig, dass im Grunde jedes Land ein eigenes Datenschutzrecht kennt. Müssten diese Bestimmungen immer berücksichtigt werden, würde dies insbesondere für Freiberufler, die regelmäßig über keine eigene Rechtsabteilung oder über einen Datenschutzbeauftragten (DSB) verfügen, zu Nachteilen gegenüber größeren Mitbewerbern führen.

Innerhalb der EU ist jedoch vom sog. Sitzlandprinzip auszugehen, sodass für die verantwortliche Stelle das Datenschutzrecht des Landes gilt, in welchem sie ihren Sitz unterhält. Etwas anderes gilt wiederum im Verhältnis zu Drittstaaten, also Staaten außerhalb der EU. In diesen Fällen findet das jeweilige ausländische Datenschutzrecht Anwendung. Während im ersten Fall die Risiken den bereits genannten entsprechen, sind sie im zweiten Fall nur schwer absehbar. In beiden Fällen sollte sich der Freiberufler jedoch ausführlich von einem Experten beraten lassen.

Gänzlich auf das Sitzlandprinzip sollte man sich jedoch nicht verlassen. Dieses gilt nur, soweit ein Freiberufler pbD erhebt, verarbeitet oder nutzt. Entwickelt ein deutscher Freiberufler für einen französischen Auftraggeber z.B. eine Software zur Kundenverwaltung, so sollte im Sinne einer ordnungsgemäßen Auftragsdurchführung bei der Planung dieser Software selbstverständlich das französische Datenschutzrecht berücksichtigt werden.

Regelmäßig wird dem Auftragnehmer jedoch durch das sog. Lastenheft genau vorgegeben, welche Anforderungen die zu entwickelnde Anwendung zu erfüllen hat.

Im zweiten Teil des Interviews knöpfen sich die Rechtsexperten die Risiken in punkto BYOD (Bring your own device) vor und erklären, wie sich Freiberufler vor Datenverlust und -missbrauch schützen können.

Über die Interviewpartner

Tobias Haar, LL.M. (Rechtsinformatik) ist auf IT-Recht spezialisiert. Er ist Rechtsanwalt in der Kanzlei Vogel & Partner, Karlsruhe.

Christian Metzger ist Datenschutzkoordinator der Gameforge-Gruppe sowie externer Datenschutzbeauftragter.

Weiterführende Informationen

Schreiben Sie einen Kommentar

Wenn Sie einen Kommentar abgeben, speichern wir zu den eingegebenen Daten Ihre IP-Adresse. Weitere Informationen finden sie in unserer Datenschutzerklaerung.

Time limit is exhausted. Please reload CAPTCHA.