Sie verwenden einen veralteten Web-Browser. Bitte aktualisieren Sie ihren Web-Browser für ein besseres Internet-Erlebnis.
Das Datenschutzrecht rückt immer mehr in den Fokus der Allgemeinheit, aber auch der zuständigen Datenschutzbehörden. Erfahrungsgemäß sind die meisten Unternehmen um die Beachtung des Datenschutzes bemüht, verstoßen jedoch oftmals aus Unwissenheit oder Nachlässigkeit gegen die Bestimmungen des Datenschutzes. Das Thema hat insbesondere unter Gesichtspunkten der „Compliance“ und der damit – unter anderem – verbundenen zivil- und auch strafrechtlichen Haftung der Geschäftsleitung Brisanz. Die zuständigen Datenschutzbehörden rüsten gleichzeitig auf, um den Datenschutz auch durchzusetzen.
So hat die Bayerische Datenschutzbehörde kürzlich mehrere Presseerklärungen herausgegeben, die es „in sich hatten“:
Es wurde mitgeteilt, dass im Rahmen eines Unternehmenskaufes in Form eines Asset Deals datenschutzrechtliche Bestimmungen verletzt worden seien, was zu einem Bußgeld für Verkäufer und auch für den Käufer in jeweils 5-stelliger Euro-Höhe führte. Im konkreten Fall ging es um die unzulässige Übertragung von E-Mail-Adressen von Kunden eines Online-Shops – dies erfolgte ohne die Einwilligung der betroffenen Kunden. Damit wurde gegen das Datenschutzrecht und auch gegen § 7 UWG verstoßen. Die Datenschutzbehörde machte außerdem – zu Recht! – darauf aufmerksam, dass sowohl Käufer als auch Verkäufer als sogenannte „verantwortliche Stelle“ die datenschutzrechtliche Verantwortung tragen – der Verkäufer „übermittelt“ die Daten, während der Käufer die Daten „erhebt“. Datenschutzrechtliche Regelungen sind folglich sehr ernst zu nehmen – im konkreten Falle wäre der Käufer im Übrigen gut beraten gewesen, sich vertraglich gegen eine etwaige datenschutzwidrige Überlassung von Daten abzusichern.
In einer weiteren Pressemitteilung gab die Bayerische Datenschutzbehörde bekannt, dass sie für den Fall einer datenschutzrechtlich unzureichenden Auftragsvergabe eine Geldbuße in 5-stelliger Höhe festgesetzt hat und dies in vergleichbaren Fällen auch weiter durchführen möchte.
Die Datenschutzbehörde spricht dabei Fälle an, in denen die Leistung an Dritte ausgelagert wird, wobei diese Dritte auftragsbedingt in Kenntnis von personenbezogenen Daten kommen (zum Beispiel Kundendaten, Beschäftigtendaten etc.). Dies sind vor allem klassische Fälle des Outsourcings. Es bedarf der schriftlichen Vereinbarung eines Vertrages zur Auftragsdatenverarbeitung, wie es § 11 des Bundesdatenschutzgesetzes vorsieht. Fehlt eine solche Vereinbarung oder ist diese unvollständig, so ist dies bereits ein datenschutzrechtlicher Verstoß und bußgeldbewehrt.
Im konkreten Fall hat ein Unternehmen eine solche Vereinbarung nur im rudimentären Umfang geschlossen, jedoch keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt. Die Datenschutzbehörde wertete dies als Missachtung der datenschutzrechtlichen Bestimmungen und verhängte eine Geldbuße.
Daraus lässt sich zweierlei schließen: zum Einen sind datenschutzrechtliche Vorgaben ernst zu nehmen und umzusetzen. Zum Anderen müssen auch konkrete Maßnahmen durch datenverarbeitende Dienstleister vorgenommen werden, um einen Datenabfluss – ob beabsichtigt oder unbeabsichtigt – vorzubeugen. Außerdem muss das beauftragende Unternehmen sicherstellen bzw. auch nachprüfen, dass diese Sicherheitsmechanismen bei dem Dienstleister auch tatsächlich beachtet werden.
Fazit: Datenschutz und -sicherheit treten vermehrt in den Fokus der Allgemeinheit und des Wirtschaftslebens, insbesondere aufgrund der fortschreitenden Vernetzung und Digitalisierung. Die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz und zur Datensicherheit ist ein elementarer Bestandteil des zukünftigen Wirtschaftens. Die zuständigen Datenschutzbehörden nehmen ihren Auftrag immer ernster und scheuen sich auch nicht davor, empfindliche Bußgelder zu verhängen. Aber auch Image- und sonstige materielle Schäden sind darüber hinaus relevante realistische Szenarien, die ernst zu nehmen sind.
SRB Anwälte