Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
conrad.de
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
kayamo
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
placeforvegans.de
plentymarkets
Praktiker.de
Prestashop
PriceMinister.com
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B + B2C)
Verkauf über individuelle Kommunikation (B2B)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von Dr. Sebastian Kraska

Was droht wenn kein Datenschutzbeauftragter bestellt wird?

News vom 14.04.2010, 15:48 Uhr | Keine Kommentare

Das Datenschutzrecht hat in der öffentlichen Diskussion auf Grund verschiedener Datenschutzvorfälle an Bedeutung gewonnen. Dennoch unterschätzen viele Unternehmen nach wie vor die Risiken, die mit einer Nichtbeachtung der datenschutzrechtlichen Vorschriften einhergehen. Der Einsatz eines Datenschutzbeauftragten und die Beachtung datenschutzrechtlicher Vorgaben im Übrigen wird von den Unternehmen als zu hoher Kostenfaktor empfunden. Dennoch drohen bei Überprüfung durch die Aufsichtsbehörden rechtliche Konsequenzen, die wiederum auch eine Kostenbelastung darstellen können. Dieser Beitrag soll klären, was bei einem Verstoß gegen die datenschutzrechtlichen Vorschriften drohen kann, insbesondere dann, wenn kein Datenschutzbeauftragter bestellt wurde.

 

Nachdem der Datenschutz lange ein Thema für Spezialisten gewesen ist, wurde inzwischen durch die zahlreichen Datenschutzskandale auch die Öffentlichkeit aufgeschreckt. In den letzten Jahren wurde bekannt, dass viele Mitarbeiter von Arbeitgebern heimlich durch Kameras überwacht und Datensätze gestohlen wurden. Daneben wurde der illegale Handel mit umfangreichen Datensätzen publik. Zunehmend werden verbesserte Datenschutzregeln und die konsequente Ahndung von Verstößen gefordert.

Organisation der Datenschutzaufsicht in Deutschland

Im Bereich der Datenschutzaufsicht liegt die Verantwortung für fast alle Bereiche bei den Bundesländern und nicht beim Bund. Eine zentrale Kontrollstelle, die den Behörden der Länder Anweisungen erteilen könnte, existiert nicht. Eine unterschiedliche Praxis der Aufsichtsbehörden ist damit möglich. Bei bundesweit handelnden Unternehmen kann sich auch die Zuständigkeit mehrerer Aufsichtsbehörden für ein Unternehmen ergeben. Damit es bei der Behandlung von Rechtsfragen nicht zu Streitfällen kommt, sprechen sich die Aufsichtsbehörden im Regelfall untereinander ab (z.B. im Rahmen des Düsseldorfer Kreises). In diesem Zusammenhang lesenswert ist das kürzlich ergangene EuGH-Urteil , wonach die bisherige staatliche Aufsicht über deutsche Datenschutz-Aufsichtsbehörden gegen das Europarecht verstößt, da die Datenschutz-Aufsichtsbehörden ihre Aufgaben „in völliger Unabhängigkeit“ wahrnehmen müssen.

Banner Starter Paket

Klassische Aufgabe der Aufsichtsbehörden

Die Aufgaben der Datenschutzbehörde werden in § 38 Bundesdatenschutzgesetz ("BDSG") normiert. Die klassische Aufgabe der Aufsichtsbehörden ist die Kontrolle, sei es die anlassbezogene Kontrolle oder die Stichprobenüberprüfung.

Vorgehensweise der Behörden im Datenschutzrecht

Erhält die Behörde von einem Verstoß gegen das Datenschutzrecht Kenntnis, wird diese in der Regel das Unternehmen mit dem Sachverhalt konfrontieren und um fristgebundene Stellungnahme bitten. Bei Gefahr im Verzug oder bei stichprobenartigen Kontrollen kann auch direkt eine umfassende Überprüfung vorgenommen werden. Wird dann ein Verstoß festgestellt, so besteht unter anderem die Möglichkeit ein Bußgeld nach § 43 BDSG zu verhängen.

Welche Rechtsfolge tritt ein, wenn trotz einer Verpflichtung kein Datenschutzbeauftragter ernannt wird?

Unternehmen mit mehr als neun Mitarbeitern, die computergestützt mit personenbezogenen Daten (also insbesondere Mitarbeiter- und Kundendaten) arbeiten, benötigen gemäß § 4f BDSG einen internen oder externen Datenschutzbeauftragten (die Verpflichtung kann sich im Einzelfall sogar bereits früher ergeben). Obwohl diese Verpflichtung seit Jahren besteht, sind viele Unternehmen diesem Erfordernis bisher nicht nachgekommen.

Der Verstoß gegen diese Verpflichtung stellt jedoch eine Ordnungswidrigkeit dar, die mit einem Bußgeld bis zu 50.000,- Euro geahndet werden kann. Die maximale Bußgeldhöhe wurde im Rahmen der Novellierung des BDSG nochmals erhöht.

Bußgeld nach § 43 BDSG möglich

Alle Bußgeldtatbestände aufzuführen würde den Rahmen sprengen. Herausgegriffen sei im Folgenden exemplarisch § 43 Abs. 1 Nr. 2 BDSG:

„Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […] einen […] (Datenschutzbeauftragten) nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt […].“

Daneben lautet Absatz 3 der Vorschrift:

„Die Ordnungswidrigkeit kann im Falle des Absatzes 1 mit einer Geldbuße bis zu 50.000,- Euro […] geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die […] genannten (50.000,- Euro) […] hierfür nicht aus, so können sie überschritten werden.“

Was wird von diesem Tatbestand genauer umfasst?

Zweifelsfrei umfasst ist der Tatbestand, dass ein Unternehmen trotz der Verpflichtung aus § 4f BDSG einen Beauftragten nicht oder zu spät bestellt.

Wird ein Beauftragter für den Datenschutz zwar formell bestellt, ist er aber außerstande, diese Funktion auszuführen oder erfüllt er eindeutig die Qualifikationsvoraussetzungen nicht, liegt ebenfalls keine wirksame Bestellung vor und ist damit der Tatbestand der Ordnungswidrigkeit erfüllt.

Bußgeld auch bei mangelnder Schriftlichkeit der Bestellung möglich

Weiter wird der Fall sanktioniert, dass die Bestellung nicht schriftlich erfolgt ist („nicht in der vorgeschriebenen Weise“). Der Fall, dass ein Beauftragter bestellt ist, aber pflichtwidrig untätig bleibt, ist nicht gemeint (Anmerkung: Er wird wegen des strafrechtlichen Bestimmtheitsgebotes nicht umfasst, da die für die juristische Auslegung relevante Wortlautgrenze so überschritten werden würde).

Ermessen der Behörde

Die für die Verfolgung und Ahndung zuständigen Behörden haben bei der Festsetzung des Bußgelds einen Ermessensspielraum. Die Bußgeldhöhe ist dabei so zu bestimmen, dass sie ausreichend abschreckend wirkt. Welches Bußgeld festgesetzt werden muss, bestimmt sich nach den Umständen des Einzelfalls. Es können auch die wirtschaftlichen Verhältnisse des Unternehmens einen Ausschlag geben. Dies kann unter anderem vor allem dann angezeigt sein, wenn das Unternehmen aus Kostengründen die Ordnungswidrigkeit begangen hat. Die Geldbuße sollte dann höher ausfallen, als der wirtschaftliche Vorteil, den das Unternehmen durch die Nichtausführung erlangt hat. Die Regelung entspricht insoweit § 17 Abs. 4 des OWiG.

Sinn der Bußgeldregelung

Mit der Bußgeldbewährung soll verhindert werden, dass sich die Begehung einer Ordnungswidrigkeit für den Täter in irgendeiner Weise lohnt. Bei einer durchgeführten Saldierung soll der Täter erkennen, dass er die falsche Wahl getroffen hat, um sich dann entsprechend seinem Kostenrisiko das nächste Mal für den richtigen Weg zu entscheiden.

Folgen für die Praxis

Gerade dies kann auch in der nächsten Zeit zu Lasten der Unternehmen ausfallen: es kann passieren, dass die einzelnen Aufsichtsbehörden gerade deswegen hohe Bußgelder erlassen werden, um eine gewisse Abschreckungswirkung zu erzielen. Nicht zuletzt aus diesem Grund hat der Gesetzgeber im vergangenen Jahr den Bußgeldrahmen von 25.000,- Euro auf 50.000,- Euro erhöht.

Fazit

Für Unternehmen, die einen Datenschutzbeauftragten nicht, zu spät oder nicht in der erforderlichen Weise bestellt haben, besteht ein bußgeldbewährtes Kontroll-Risiko. Seit September 2009 haben die Aufsichtsbehörden die Möglichkeit, bei der Festlegung der Bußgeldhöhe die durch die Nicht-Einhaltung dieser Vorschrift eingesparten Kosten in voller Höhe zu berücksichtigten. Zudem wird die Einhaltung datenschutzrechtlicher Vorschriften nicht nur von den Aufsichtsbehörden sondern zunehmend auch von Mitarbeitern, Kunden und Wettbewerbern eingefordert.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© vege - Fotolia.com
Autor:
Dr. Sebastian Kraska
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2021 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller