Zum 01.09.2009 tra­ten neue Rege­lun­gen des Bun­des­da­ten­schutz­ge­setz (BDSG) in Kraft. Neben stren­ge­ren Auf­la­gen in den Berei­chen Adress­han­del und Auf­trags­da­ten­ver­ar­bei­tung sind seit­her här­te­re Sank­tio­nen bei Ver­stö­ßen gegen das BDSG vor­ge­se­hen. „Ich for­de­re die Ver­ant­wort­li­chen in den Unter­neh­men dazu auf, die durch die Neu­re­ge­lung gebo­te­ne Chan­ce zu nut­zen, ver­lo­ren gegan­ge­nes Ver­trau­en zurück­zu­ge­win­nen. Per­so­nen­be­zo­ge­ne Daten sind kein belie­big aus­beut­ba­res Wirt­schafts­gut. Wer sie erhebt und nutzt muss die Per­sön­lich­keits­rech­te der Betrof­fe­nen respek­tie­ren. Die neu­en Rege­lun­gen stel­len erheb­lich gestei­ger­te Anfor­de­run­gen an den Umgang mit Ver­brau­cher- und Beschäf­tig­ten­da­ten. Daten­schutz muss end­lich zur Chef­sa­che wer­den. Wer dies ver­kennt, wird zukünf­tig mit erheb­li­chen Nach­tei­len rech­nen müs­sen.“, kom­men­tier­te Peter Schaar, Bun­des­be­auf­trag­ter für den Daten­schutz und die Infor­ma­ti­ons­frei­heit die neu­en Regelungen.

Doch wel­che Sank­tio­nen dro­hen Unter­neh­men nun gera­de im finan­zi­el­len Bereich in Form von Buß­gel­dern, wenn die Auf­la­gen des BDSG nicht oder nicht voll­stän­dig umge­setzt sind? Die­se Fra­ge beant­wor­ten § 43 Buß­geld­vor­schrif­ten und § 44 Straf­vor­schrif­ten des BDSG sehr aus­führ­lich. Die wich­tigs­ten Punkte:

Geld­bu­ßen bis 50.000 (§43 Absatz 1) für:

  • Einen Ver­stoß gegen die Meldepflicht.
  • Die feh­len­de, nicht recht­zei­ti­ge oder nicht ord­nungs­ge­mä­ße Bestel­lung eines Daten­schutz­be­auf­trag­ten (bei ent­spre­chen­der Ver­pflich­tung durch das BDSG).
  • Einen Ver­stoß gegen eine Anord­nung der Aufsichtsbehörde.
  • Die nicht erfolg­te, unvoll­stän­di­ge, ver­spä­te­te oder fal­sche Aus­kunft gegen­über einem Betroffenen.
  • Eine feh­len­de Pro­to­kol­lie­rung bei auto­ma­ti­sier­ten Ver­fah­ren des Datenabrufs.
  • Eine Pflicht­ver­let­zung bei der Auftragsdatenverarbeitung.
  • Die feh­len­de Wider­rufs­be­leh­rung bei einer werb­li­chen Ansprache.
  • Einen Ver­stoß gegen die Zweck­bin­dung bei über­mit­tel­ten Daten.
  • Einem Ver­stoß gegen die Doku­men­ta­ti­ons­pflich­ten bei Daten­über­mitt­lung zu Geschäftszwecken.
  • Die Auf­nah­me per­so­nen­be­zo­ge­ner Daten in Ver­zeich­nis­se gegen den Wil­len des Betroffenen.
  • Eine geschäfts­mä­ßi­ge Daten­über­mitt­lung ohne einer evtl. vor­lie­gen­den Gegen­dar­stel­lung des Betroffenen.
  • Eine feh­len­de Über­mitt­lung von Kenn­zeich­nun­gen an Verzeichnisse.

Geld­bu­ßen bis 300.000 (§43 Absatz 2) für:

  • Die unbe­fug­te Erhe­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die nicht all­ge­mein zugäng­lich sind.
  • Eine unbe­fug­te Bereit­hal­tung per­so­nen­be­zo­ge­ner Daten für auto­ma­ti­sier­te Abruf­ver­fah­ren, die nicht all­ge­mein zugäng­lich sind.
  • Den unbe­fug­ten Abruf per­so­nen­be­zo­ge­ner Daten in auto­ma­ti­sier­ten Ver­fah­ren, , die nicht all­ge­mein zugäng­lich sind.
  • Das Erschlei­chen einer Über­mitt­lung per­so­nen­be­zo­ge­ner Daten (die nicht all­ge­mein zugäng­lich sind) im Abruf­ver­fah­ren auf­grund unrich­ti­ger Angaben.
  • Einen Ver­stoß gegen die Zweck­bin­dung bei über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten.
  • Die Miss­ach­tung des Kopp­lung­ver­bots (Ver­trags­ab­schluss wird von Erlaub­nis zur Daten­spei­che­rung und Nut­zung abhän­gig gemacht).
  • Eine Nut­zung per­so­nen­be­zo­ge­ner Daten zum Zwe­cke der Wer­bung, Markt- und Mei­nungs­for­schung, obwohl ein Wider­spruch vorliegt.
  • Die Zusam­men­füh­rung anony­mi­sier­ter Daten mit Ein­zel­an­ga­ben zu einer Per­son (De-Anony­mi­sie­rung).
  • Eine nicht erfolg­te, unwah­re, unvoll­stän­di­ge oder ver­spä­te­te Mel­dung nach § 42a Satz 1 (Infor­ma­ti­ons­pflicht bei unrecht­mä­ßi­ger Kennt­nis­er­lan­gung von Daten) abgibt.

Unter § 43 Absatz 3 Satz 2 schreibt der Gesetz­ge­ber: “Die Geld­bu­ße soll den wirt­schaft­li­chen Vor­teil, den der Täter aus der Ord­nungs­wid­rig­keit gezo­gen hat, über­stei­gen. Rei­chen die in Satz 1 (des §43 Absatz 3) genann­ten Beträ­ge hier­für nicht aus, so kön­nen sie über­schrit­ten werden.”

§ 44 Straf­vor­schrif­ten BDSG setzt noch eins oben­auf. Wer eine der Ord­nungs­wid­rig­kei­ten aus § 43 Absatz 2 vor­sätz­lich gegen Ent­gelt oder in der Absicht, sich oder einen ande­ren zu berei­chen oder einen ande­ren zu schä­di­gen, begeht, wird mit Frei­heits­stra­fe bis zu zwei Jah­ren oder Geld­stra­fe (zusätz­lich zur Geld­bu­ße) bestraft.

Bei allen Schre­ckens­sze­na­ri­en, die durch die Buß­geld­re­ge­lun­gen im BDSG gezeich­net wer­den, soll­ten Unter­neh­men und Unter­neh­mer jedoch Daten­schutz und Daten­si­cher­heit nicht als läs­ti­ge Pflicht, son­dern als Chan­ce und als Qua­li­täts­merk­mal begrei­fen. Jedem Skep­ti­ker sei der Bei­trag “Ver­trau­en in Unter­neh­men sinkt – Deut­sche wer­den skep­ti­scher in Sachen Daten­schutz” ans Herz gelegt — Ver­brau­cher, und somit (poten­ti­el­le) Kun­den legen immer mehr Wert auf den Schutz ihrer per­sön­li­chen Daten bei Unternehmen.

Als Bera­ter für Daten­schutz und Daten­si­cher­heit unter­zie­he ich Ihr Unter­neh­men einem Daten­schutz Quick Check und gebe Ihnen eine ers­te Ein­schät­zung, wie es um den Daten­schutz unter den Aspek­ten des Bun­des­da­ten­schutz­ge­setz bestellt ist. Gemein­sam ent­wi­ckeln wir die Maß­nah­men, die für einen rechts­kon­for­men Umgang mit per­so­nen­be­zo­ge­nen Daten in Ihrem Unter­neh­men not­wen­dig sind. Sie wer­den schnell fest­stel­len, dass sich hier­aus wei­te­re posi­ti­ve Syn­er­gien erge­ben kön­nen (Stich­wor­te: Daten­si­cher­heit, Reduk­ti­on von Aus­fall­zei­ten etc.). Soll­ten Sie durch das BDSG zur Bestel­lung eines betrieb­li­chen Daten­schutz­be­auf­trag­ten ver­pflich­tet sein, so besteht die Mög­lich­keit der Bestel­lung mei­ner Per­son zum exter­nen Daten­schutz­be­auf­trag­ten. Somit kom­men Sie in den Genuss wei­te­rer Vor­tei­le: kein erwei­ter­ter Kün­di­gungs­schutz, für gewöhn­lich deut­lich preis­wer­ter als ein inter­ner Daten­schutz­be­auf­trag­ter, Absi­che­rung durch ent­spre­chen­de Haft­pflicht­ver­si­che­run­gen (intern kön­nen Sie die­se Risi­ken mei­nes Wis­sens nach nicht ver­si­chern), über­grei­fen­des Know How aus vie­len Unter­neh­men und Bran­chen, regel­mä­ßi­ge Fort- und Wei­ter­bil­dung uvm!! Spre­chen Sie mich an.

[wpfi­le­ba­se tag=‘file’ id=‘2’]

“Was kann mir /​ mei­nem Unter­neh­men schon pas­sie­ren, wenn ich kei­nen Daten­schutz­be­auf­trag­ten bestel­le, obwohl mich das Bun­des­da­ten­schutz­ge­setz dazu ver­pflich­tet?”, die­se Fra­ge wur­de hier mehr­fach per Email gestellt. Die Ant­wort möch­te ich nicht schul­dig blei­ben und auf­grund der Trag­wei­te und Rele­vanz erfolgt die­se als öffent­li­cher Beitrag.

Das Bun­des­da­ten­schutz­ge­setz (BDSG) schreibt die Not­wen­dig­keit zur Bestel­lung eines betrieb­li­chen exter­nen oder inter­nen Daten­schutz­be­auf­tra­gen (DSB) unter bestimm­ten Vor­aus­set­zun­gen vor § 4f BDSG — sie­he auch “Wer muss einen Daten­schutz­be­auf­trag­ten bestel­len?” Oft­mals wird Daten­schutz jedoch als rei­ner Kos­ten­fak­tor und Hemm­schuh für die unter­neh­me­ri­sche Ent­wick­lung ver­stan­den, nicht als Qua­li­täts­merk­mal oder Chan­ce. Die Ver­su­chung erscheint daher groß, auf die Bestel­lung des DSB zu ver­zich­ten. (mehr …)