Datenschutzverstöße werden gesetzlich mit den Bußgeldvorschriften des § 43 BDSG sanktioniert.
Hierbei zählt der Katalogtatbestand des § 43 Abs. 1 BDSG einzelne Vorschriften des Bundesdatenschutzgesetzes auf, bei deren vorsätzlichem oder fahrlässigem Verstoß ein Bußgeld von bis zu 50.000 € drohen.
Die in der Praxis relevantesten Normen bzw. Verstöße sind hierbei typischerweise folgende:
- Verletzung der Pflicht zur Bestellung eines Beauftragten für den Datenschutz (§ 4f Abs. 1 Satz 1,2,3 und 6 BDSG): Es wurde kein Datenschutzbeauftragter in der vorgeschriebenen Form bestellt, obwohl die Bestellung eines solchen gesetzlich vorgeschrieben ist oder es wurde ein Datenschutzbeauftragter zwar formal korrekt bestellt, dieser entfaltet aber keine Tätigkeiten als Datenschutzbeauftragter (Scheinbestellung, Pseudo-Bestellung). Ein Verstoß liegt auch vor, wenn bei dem bestellten Datenschutzbeauftragten aufgrund einer unzulässigen Interessenkollisionen die notwendige Zuverlässigkeit gemäß § 4f Abs. 2 Satz 1 BDSG fehlt.
- Pflichtverletzungen im Zusammenhang mit Maßnahmen der Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 2 BDSG, § 11 Abs. 2 Satz 4 BDSG): Ein Bußgeld droht dann, wenn ein Auftrag im Rahmen der Auftragsdatenverarbeitung nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt wurde (also typischerweise einer der Punkte aus dem Katalog des § 11 Abs. 2 Satz 1 BDSG fehlt oder unvollständig geregelt ist) oder sich der Auftragnehmer bei der Auftragsdatenverarbeitung nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt.
- Unterlassen der Unterrichtung des Betroffenen bei der Nutzung von Daten für Werbezwecke und für den Adresshandel (§ 28 Abs. 4 Satz 2 BDSG): Der Betroffene ist gemäß § 28 Abs. 4 BDSG bei der Ansprache zum Zwecke der Werbung oder Markt- und Meinungsforschung bzw. bei der Begründung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses zu unterrichten.
- Verstöße bei der Erteilung einer Auskunft an den Betroffenen (§ 34 BDSG): Das Auskunftsbegehren eines Betroffenen wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder die erforderlichen Daten werden entgegen § 34 Absatz 1a BDSG nicht gespeichert. Letzteres wird insbesondere durch die Neuregelung des BDSG aus dem Jahre 2009 und 2010 und auch durch das Auslaufen der Übergangsvorschriften aus § 47 BDSG zum 31.08.2012 relevant, wonach in bestimmten Fällen für die Dauer von zwei Jahren nach Erhalt/Übermitteln von personenbezogenen Daten die Datenherkunft gespeichert werden muss.
Ein Verstoß gegen die Ordnungswidrigkeitentatbestände des § 43 Abs. 2 BDSG zieht ein Bußgeld von bis zu 300.000 € nach sich. § 43 Abs. 2 BDSG pönalisiert insbesondere Pflichten beim Umgang mit personenbezogenen Daten. Hervorzuheben sind folgende Tatbestände:
- Unbefugtes Erheben oder Verarbeiten von personenbezogenen Daten, die nicht allgemein zugänglich sind
- Unbefugtes Abrufen und Verschaffen von nicht allgemein zugänglichen personenbezogenen Daten
- Zweckentfremdete Nutzung entgegen § 28 Abs. 5 Satz 1 BDSG / § 29 Abs. 4 BDSG von übermittelten personenbezogenen Daten
- Verstoß gegen das Koppelungsverbot des § 28 Abs. 3b BDSG, also das Abhängigmachen eines Vertragsschlusses von der Einwilligung des Betroffenen
- Das Missachten eines Widerspruchs des Betroffenen gemäß § 28 Abs. 4 Satz 1 BDSG zur Nutzung seiner personenbezogenen Daten für Werbezwecke
- Verletzung von Informationspflichten bei Datenschutzverstößen gemäß § 42a BDSG
Zu beachten ist, dass ein Bußgeldtatbestand mit jedem einzelnen Vergehen verwirklicht wird. D.h. wahrscheinlich ist eine Kumulation von vielen (kleinen?) Datenschutzverstößen bei der Handhabung einer datenschutzwidrigen Praxis. So wurden in der Vergangenheit von den Aufsichtsbehörden beispielsweise Bußgelder gegen eine Einzelhandelskette in Höhe von 1.462.000 € verhängt, gegen eine Bank ein Bußgeld in Höhe von 120.000 €, gegen eine Drogeriemarktkette in Höhe von 137.500 € und gegen ein Transportunternehmen in Höhe von 1.123.503,50 €.
Weitere Beiträge zu dieser Reihe:
- Haftung und Sanktionen bei Datenschutzverstößen – Übersicht
- Teil 2: Haftung und Sanktionen bei Datenschutzverstößen – Straftatbestände/Strafen
- Teil 3: Haftung und Sanktionen bei Datenschutzverstößen – Schadensersatz und Schmerzensgeld
- Teil 4: Haftung und Sanktionen bei Datenschutzverstößen – Unterlassungsansprüche (Abmahnung)
- Teil 5: Haftung und Sanktionen bei Datenschutzverstößen – Negative Außenwirkung und Publicity
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe