DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Daten­schutz auf Streife

Justizia

Daten­schutz­auf­sichts­be­hörden haben die Mög­lichkeit Buß­gelder zu ver­hängen. Noch nie gehört? Und doch kommen solche Fälle inzwi­schen häufig vor, wie einige Fälle zeigen: Meist beruhen sie auf Unkenntnis.

Neben den daten­schutz­recht­lichen Straf­tat­be­ständen, die eine Frei­heits­strafe von zwei Jahren oder Geld­strafe bei vor­sätz­lichen Ver­stößen gegen Daten­schutz­vor­schriften mit Berei­che­rungs- oder Schä­di­gungs­ab­sicht vor­sehen, haben Daten­schutz­auf­sichts­be­hörden die Mög­lichkeit, Buß­gelder zu ver­hängen.

 

Die Buß­geld­vor­schriften im Bun­des­da­ten­schutz­gesetz
Im umfang­reichen Buß­geld­ka­talog des § 43 BDSG ist für haupt­sächlich formale Ver­stöße gegen das Daten­schutz­recht ein Bußgeld von bis zu 50.000 Euro vor­ge­sehen. Hier­unter fällt z.B. die Nicht­be­stellung eines Daten­schutz­be­auf­tragten oder die Wei­gerung einer Auf­sichts­be­hörde Aus­kunft zu geben. Gra­vie­rendere Ver­stöße, z.B. eine unzu­lässige Daten­er­hebung, können sogar mit Buß­geldern von bis zu 300.000 Euro geahndet werden. Aller­dings soll eine Geldbuße immer den wirt­schaft­lichen Vorteil über­wiegen und kann somit deutlich höher aus­fallen.

Werden Buß­gelder tat­sächlich ver­hängt?
Darauf gibt es nur eine Antwort: Ja!
Viel­leicht erinnern Sie sich noch an den bun­desweit berich­teten Fall der Mit­ar­bei­ter­über­wa­chung bei Lidl. Hier wurden 2008 ins­gesamt 1,462 Mil­lionen Euro an Buß­geldern wegen Ver­stößen gegen Daten­schutz­vor­schriften ver­hängt. Ins­gesamt rich­teten sich Buß­geld­be­scheide von 10.000 Euro bis 310.000 Euro an 35 Lidl-Ver­triebs­ge­sell­schaften, da in mehr als 900 Fällen Mit­ar­beiter in unzu­läs­siger Weise durch einen Laden­de­tektiv auch per Kamera über­wacht wurden, eine heim­liche Video­über­wa­chung bei Mit­ar­beitern in 80 Fällen durch­ge­führt wurde und in keiner Lidl-Ver­triebs­ge­sell­schaft ein Daten­schutz­be­auf­tragter bestellt war, obwohl dies gesetzlich not­wendig gewesen wäre.
Ein anderer Fall aus dem aktuell ver­öf­fent­lichten Bericht der Daten­schutz­auf­sichts­be­hörde Hamburg betraf die Ham­burger Spar­kasse: 200.000 Euro Bußgeld wurden ver­hängt, weil die Haspa Ver­triebs­mit­ar­beitern mobilen Zugriff auf den Kun­den­da­ten­be­stand ein­ge­räumt hat. Die Ver­triebs­mit­ar­beiter waren selb­ständige Han­dels­ver­treter, d.h. es han­delte sich beim Zugriff auf die Kun­den­daten der Haspa um eine Daten­über­mittlung an Dritte, die in diesem Fall unzu­lässig war.

Kann man sich dagegen wehren?
Auch kleine Unter­nehmen kann es treffen: Ein Ber­liner Laden­ge­schäft bekam Besuch von der Ber­liner Daten­schutz­auf­sicht. Die Mit­ar­beiter der Auf­sichts­be­hörde ver­langten Ein­blick in Unter­lagen, um zu über­prüfen, woher der Laden­in­haber den Namen und die Anschrift einer bestimmten Person erhalten hatte. Der Laden­in­haber ver­wei­gerte den Ein­blick, die Auf­sichts­be­hörde ver­hängte dar­aufhin ein Bußgeld von 2.000 Euro. Auch wenn in diesem Fall der Buß­geld­be­scheid vom Kam­mer­ge­richt Berlin in zweiter Instanz auf­ge­hoben wurde, wird deutlich, dass auch kleinere Unter­nehmen jederzeit in den Fokus der Auf­sichts­be­hörden geraten können.

Vor­sicht: Die Grenze zum Straf­recht ist schnell über­schritten!
Um Droh­anrufe fest­halten zu können, wurden in Ein­kaufs­zentren des Unter­nehmens ECE ein­ge­hende Tele­fon­anrufe ohne einen ent­spre­chenden Hinweis auf­ge­zeichnet und für 48 Stunden gespei­chert. Was an sich erst einmal nach­voll­ziehbar klingt, kann massive Aus­wir­kungen nach sich ziehen, die den Ver­ant­wort­lichen des Unter­nehmens so nicht bekannt waren:
Die ohne Hinweis durch­ge­führte Auf­nahme aller ein­ge­henden Anrufe stellt eine unbe­fugte Auf­nahme des nicht­öf­fent­lichen Wortes eines anderen dar und ist gem. § 201 StGB strafbar. Zum Glück für die Ver­ant­wort­lichen bei ECE wird die Tat nur auf Antrag des Ver­letzten ver­folgt.

Was tun?
Holen Sie sich fach­kundige Beratung und lassen Sie die Umsetzung des Daten­schutzes in Ihrem Hause über­prüfen. Das Gesetz sieht hierfür den Daten­schutz­be­auf­tragten vor. Ob dies ein spe­ziell aus­zu­bil­dender Mit­ar­beiter Ihres Unter­nehmens ist oder ob Sie sich das Know-how von externen Beratern holen, bleibt Ihnen über­lassen. Nur nichts zu tun ist zu gefährlich!

Bild:  © Thorsten Wengert / pixelio.de

Ein Kommentar zu Datenschutz auf Streife

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werkum­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare