Datenschutzbeauftragten nicht bestellt - was dann?

Das Datenschutzrecht hat in der öffentlichen Diskussion auf Grund verschiedener Datenschutzvorfälle an Bedeutung gewonnen. Dennoch unterschätzen viele Unternehmen nach wie vor die Risiken, die mit einer Nichtbeachtung der datenschutzrechtlichen Vorschriften einhergehen. Der Einsatz eines Datenschutzbeauftragten und die Beachtung datenschutzrechtlicher Vorgaben im Übrigen werden von den Unternehmen als zu hoher Kostenfaktor empfunden. Dennoch drohen bei Überprüfung durch die Aufsichtsbehörden rechtliche Konsequenzen, die wiederum auch eine Kostenbelastung darstellen können. Dieser Beitrag soll klären, was bei einem Verstoß gegen die datenschutzrechtlichen Vorschriften drohen kann, insbesondere dann, wenn kein Datenschutzbeauftragter bestellt wurde.

Nachdem der Datenschutz lange ein Thema für Spezialisten gewesen ist, wurde inzwischen durch die zahlreichen Datenschutzskandale auch die Öffentlichkeit aufgeschreckt. In den letzten Jahren wurde bekannt, dass viele Mitarbeiter von Arbeitgebern heimlich durch Kameras überwacht und Datensätze gestohlen wurden. Daneben wurde der illegale Handel mit umfangreichen Datensätzen publik. Zunehmend werden verbesserte Datenschutzregeln und die konsequente Ahndung von Verstößen gefordert.

aborange Crypter
Das Programm von Aborange arbeitet nach dem AES-Verfahren, um Ihre Dateien, Texte und Mails sicher zu verschlüsseln. Mit dem integrierten Passwortgenerator haben Sie auch immer gleich sichere Passwörter zur Hand. Und damit keiner Ihre Datenreste auslesen kann, löscht das Tool auch Dateien durch mehrmaliges Überschreiben sehr sicher. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/76722/aborange_crypter/"> aborange Crypter </a>

AxCrypt
Wenn Sie sensible Dateien - zum Beispiel Office-Dokumente - auf einem freigegebenen Laufwerk im Netz speichern, bietet sich der Einsatz eines Verschlüsselungs-Tools an, das Ihre Daten mit einem Passwort schützt. Ax Crypt erfüllt diese Aufgabe besonders einfach, aber dennoch wirkungsvoll. Bei der Installation integriert sich das Tool in das Kontextmenü des Windows-Explorers. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/69136/axcrypt/"> AxCrypt </a>

Blowfish Advanced
Das Sicherheitsprogramm verschlüsselt sensible Dateien mit den Algorithmen Blowfish, PC1, Triple-Des und Twofish. Zusätzlich lassen sich die Dateien komprimieren. Das Tool integriert sich in den Explorer und kann im Batch-Verfahren arbeiten. Wer möchte, löscht außerdem Dateien so, dass sie sich nicht wieder herstellen lassen. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/6347/blowfish_advanced_cs/index.html"> Blowfish Advanced CS </a>

Capivara
Capivara hält Ihre Dateien auf dem aktuellen und gleichen Stand, indem es Verzeichnisse auf den lokalen Laufwerken, dem Netzwerk und auch auf FTP- und SSH-Servern synchronisiert. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/backup_brennen/backup/137163/capivara/"> Capivara </a>

Challenger
Die kostenlose Verschlüsselungssoftware verschlüsselt Dateien, Ordner oder ganze Laufwerke und passt dabei sogar auf einen USB-Stick. Das Tool klinkt sich im Windows-Explorer beziehungsweise im Datei-Manager in das Kontextmenü ein. Per Popup-Menü wählen Sie die Verschlüsselungs-Methode und vergeben ein Passwort. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/55187/challenger/index.html"> Challenger </a>

ClickCrypt
Das Programm integriert sich direkt in das Senden-an-Menü von Dateien. Um eine Datei beispielsweise vor dem Versand per Mail oder FTP zu verschlüsseln, markieren Sie die Datei, rufen das Kontextmenü auf, schicken die Datei über die „Senden-an“-Funktion von Windows an Clickcrypt und lassen sie chiffrieren. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/28063/clickcrypt_26/index.html"> ClickCrypt </a>

Crosscrypt
Mit Crosscrypt können Sie Image-Dateien als verschlüsselte, virtuelle Laufwerke einbinden. Ein Image kann beispielsweise auf der lokalen Festplatte, einer Wechselfestplatte oder auf einem Server im Netz liegen. Entpacken sie das Programm in ein beliebiges Verzeichnis und starten Sie Install.BAT. Damit installieren Sie den Treiber und das Kommandozeilen-Tool Filedisk.EXE. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/115016/crosscrypt_043/index.html"> Crosscrypt </a>

Cryptool
Wer schon immer mal wissen wollte, wie die unterschiedlichen Verschlüsselungsverfahren wie RSA oder DES arbeiten, sollte sich Cryptool einmal näher ansehen. Nach dem Start kann man eine Datei laden oder neu anlegen, die man verschlüsseln oder analysieren möchte. Für die Verschlüsselung stehen klassische Verfahren wie etwa Caesar zur Verfügung, bei dem lediglich die zu verschlüsselnden Zeichen im Alphabet um eine Position nach hinten verschoben werden. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/tools_utilities/sonstiges/23884/cryptool_1305/"> Cryptool </a>

Fire Encrypter
Wenn Sie schnell einen Text verschlüsseln möchten, dann können Sie dies ohne Aufrufen einer externen Applikation und direkt mit Fire Encrypter innerhalb von Firefox tun. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/browser_netz/browser-tools/61622/fire_encrypter_firefox_erweiterung/index.html"> Fire Encrypter </a>

GnuPT
GnuPT ist eine grafische Benutzeroberfläche für das kostenlose Verschlüsselungsprogramm GnuPG, mit dem Sie Ihre Daten und E-Mails sicher verschlüsselt übertragen und speichern können. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/159460/gnupt/index.html"> GnuPT </a>

Gpg4win
Gpg4win ist eine recht komplexe Open-Source-Software zum Verschlüsseln von Dateien und Mails. Das Programm ist die Weiterentwicklung von GnuPG. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/136989/gpg4win/"> Gpg4win </a>

Guardian of Data
Die Freeware Guardian of Data verschlüsselt einzelne Dateien und komplette Ordner nach dem AES-Algorithmus mit 256 Bit. Eine übersichtliche Bedienerführung und ein Programm-Assistent macht die Handhabung des Tools sehr einfach. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/36894/guardian_of_data/"> Guardian of Data </a>

KeePass
Mit dem KeePass Passwort-Safe speichern Sie alle Ihre Passwörter, Zugangsdaten und TAN-Listen in einer verschlüsselten Datenbank, sodass Sie sich nur noch ein einiges Passwort merken müssen. Das Open-Source-Tool Keepass speichert Ihre Passwörter, Zugangsdaten und TAN-Listen in einer Datenbank, die mit dem Advanced Encryption Standard (AES) und dem Twofish Algorithmus verschlüsselt wird. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/112115/keepass/index.html"> KeePass </a>

KeePass Portable
Das Open-Source-Tool Keepass generiert und speichert sichere Passwörter in einer Datenbank. Die Passwörter lassen sich in Gruppen zusammenfassen. Auch TANs können verwaltet werden. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/118251/keepass_portable/index.html"> KeePass Portable </a>

MD5 Algorithmus
MD5 (Message Digest 5) ist ein Einweg-Algorithmus, um aus einer beliebig langen Zeichenkette eine eindeutige Checksumme mit fester Länge zu berechnen. In diesem Archiv finden Sie eine Implementation von MD5 für Windows-Systeme (MD5.EXE). Ebenfalls enthalten sind C++-Quellen und die Spezifikationen nach RFC1321. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/34481/md5_algorithmus/index.html"> MD5 Algorithmus </a>

Opheus
Mit Opheus verschlüsseln Sie Ihre Dateien, so dass diese vor unbefugtem Zugriff gesichert sind. Sie erstellen vor der Verschlüsselung der Daten eine eigene Benutzermatrix und geben ein Passwort an. Daraus errechnet das Programm jeweils eine 1024-Bit-Matrix zur Verschlüsselung, so dass jeder Angreifer den vollständigen Schlüsselsatz haben muss, Dateien wieder entschlüsseln zu können. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/66510/opheus/"> Opheus </a>

Steganos LockNote
Das kostenlose Programm Steganos LockNote verschlüsselt für Sie wichtigen Daten und verhindert so den Datenmissbrauch. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/132112/steganos_locknote/index.html"> Steganos LockNote </a>

TrueCrypt
Sichern Sie vertrauliche Daten mit dem Open-Source-Tool TrueCrypt in einem verschlüsselten virtuellen Laufwerk. Den Datencontainer lassen sich mit einem sicheren Kennwort vor dem unbefugten Zugriff schützen. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/105893/truecrypt/index.html"> TrueCrypt </a>

Organisation der Datenschutzaufsicht in Deutschland

Im Bereich der Datenschutzaufsicht liegt die Verantwortung für fast alle Bereiche bei den Bundesländern und nicht beim Bund. Eine zentrale Kontrollstelle, die den Behörden der Länder Anweisungen erteilen könnte, existiert nicht. Eine unterschiedliche Praxis der Aufsichtsbehörden ist damit möglich. Bei bundesweit handelnden Unternehmen kann sich auch die Zuständigkeit mehrerer Aufsichtsbehörden für ein Unternehmen ergeben. Damit es bei der Behandlung von Rechtsfragen nicht zu Streitfällen kommt, sprechen sich die Aufsichtsbehörden im Regelfall untereinander ab (z.B. im Rahmen des Düsseldorfer Kreises). In diesem Zusammenhang lesenswert ist das kürzlich ergangene EuGH-Urteil, wonach die bisherige staatliche Aufsicht über deutsche Datenschutz-Aufsichtsbehörden gegen das Europarecht verstößt, da die Datenschutz-Aufsichtsbehörden ihre Aufgaben "in völliger Unabhängigkeit" wahrnehmen müssen

Klassische Aufgabe der Aufsichtsbehörden

Die Aufgaben der Datenschutzbehörde werden in § 38 Bundesdatenschutzgesetz ("BDSG") normiert. Die klassische Aufgabe der Aufsichtsbehörden ist die Kontrolle, sei es die anlassbezogene Kontrolle oder die Stichprobenüberprüfung.

Vorgehensweise der Behörden im Datenschutzrecht

Erhält die Behörde von einem Verstoß gegen das Datenschutzrecht Kenntnis, wird diese in der Regel das Unternehmen mit dem Sachverhalt konfrontieren und um fristgebundene Stellungnahme bitten. Bei Gefahr im Verzug oder bei stichprobenartigen Kontrollen kann auch direkt eine umfassende Überprüfung vorgenommen werden. Wird dann ein Verstoß festgestellt, so besteht unter anderem die Möglichkeit ein Bußgeld nach § 43 BDSG zu verhängen.

Welche Rechtsfolge tritt ein, wenn trotz einer Verpflichtung kein Datenschutzbeauftragter ernannt wird?

Unternehmen mit mehr als neun Mitarbeitern, die computergestützt mit personenbezogenen Daten (also insbesondere Mitarbeiter- und Kundendaten) arbeiten, benötigen gemäß § 4f BDSG einen internen oder externen Datenschutzbeauftragten (die Verpflichtung kann sich im Einzelfall sogar bereits früher ergeben). Obwohl diese Verpflichtung seit Jahren besteht, sind viele Unternehmen diesem Erfordernis bisher nicht nachgekommen.

Der Verstoß gegen diese Verpflichtung stellt jedoch eine Ordnungswidrigkeit dar, die mit einem Bußgeld bis zu 50.000,- Euro geahndet werden kann. Die maximale Bußgeldhöhe wurde im Rahmen der Novellierung des BDSG nochmals erhöht.

Bußgeld nach § 43 BDSG möglich

Alle Bußgeldtatbestände aufzuführen würde den Rahmen sprengen. Herausgegriffen sei im Folgenden exemplarisch § 43 Abs. 1 Nr. 2 BDSG:

"Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […] einen […] (Datenschutzbeauftragten) nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt […]."

Daneben lautet Absatz 3 der Vorschrift:

"Die Ordnungswidrigkeit kann im Falle des Absatzes 1 mit einer Geldbuße bis zu 50.000,- Euro […] geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die […] genannten (50.000,- Euro) […] hierfür nicht aus, so können sie überschritten werden."

Was wird von diesem Tatbestand umfasst?

Zweifelsfrei umfasst ist der Tatbestand, dass ein Unternehmen trotz der Verpflichtung aus § 4f BDSG einen Beauftragten nicht oder zu spät bestellt.

Wird ein Beauftragter für den Datenschutz zwar formell bestellt, ist er aber außerstande, diese Funktion auszuführen oder erfüllt er eindeutig die Qualifikationsvoraussetzungen nicht, liegt ebenfalls keine wirksame Bestellung vor und ist damit der Tatbestand der Ordnungswidrigkeit erfüllt.

Bußgeld auch bei mangelnder Schriftlichkeit der Bestellung möglich

Weiter wird der Fall sanktioniert, dass die Bestellung nicht schriftlich erfolgt ist ("nicht in der vorgeschriebenen Weise"). Der Fall, dass ein Beauftragter bestellt ist, aber pflichtwidrig untätig bleibt, ist nicht gemeint (Anmerkung: Er wird wegen des strafrechtlichen Bestimmtheitsgebotes nicht umfasst, da die für die juristische Auslegung relevante Wortlautgrenze so überschritten werden würde).

Ermessen der Behörde

Die für die Verfolgung und Ahndung zuständigen Behörden haben bei der Festsetzung des Bußgelds einen Ermessensspielraum. Die Bußgeldhöhe ist dabei so zu bestimmen, dass sie ausreichend abschreckend wirkt. Welches Bußgeld festgesetzt werden muss, bestimmt sich nach den Umständen des Einzelfalls. Es können auch die wirtschaftlichen Verhältnisse des Unternehmens einen Ausschlag geben. Dies kann unter anderem vor allem dann angezeigt sein, wenn das Unternehmen aus Kostengründen die Ordnungswidrigkeit begangen hat. Die Geldbuße sollte dann höher ausfallen, als der wirtschaftliche Vorteil, den das Unternehmen durch die Nichtausführung erlangt hat. Die Regelung entspricht insoweit § 17 Abs. 4 des OWiG.

Sinn der Bußgeldregelung

Mit der Bußgeldbewährung soll verhindert werden, dass sich die Begehung einer Ordnungswidrigkeit für den Täter in irgendeiner Weise lohnt. Bei einer durchgeführten Saldierung soll der Täter erkennen, dass er die falsche Wahl getroffen hat, um sich dann entsprechend seinem Kostenrisiko das nächste Mal für den richtigen Weg zu entscheiden.

Folgen für die Praxis

Gerade dies kann auch in der nächsten Zeit zu Lasten der Unternehmen ausfallen: es kann passieren, dass die einzelnen Aufsichtsbehörden gerade deswegen hohe Bußgelder erlassen werden, um eine gewisse Abschreckungswirkung zu erzielen. Nicht zuletzt aus diesem Grund hat der Gesetzgeber im vergangenen Jahr den Bußgeldrahmen von 25.000,- Euro auf 50.000,- Euro erhöht.

Fazit

Für Unternehmen, die einen Datenschutzbeauftragten nicht, zu spät oder nicht in der erforderlichen Weise bestellt haben, besteht ein bußgeldbewährtes Kontroll-Risiko. Seit September 2009 haben die Aufsichtsbehörden die Möglichkeit, bei der Festlegung der Bußgeldhöhe die durch die Nicht-Einhaltung dieser Vorschrift eingesparten Kosten in voller Höhe zu berücksichtigten. Zudem wird die Einhaltung datenschutzrechtlicher Vorschriften nicht nur von den Aufsichtsbehörden sondern zunehmend auch von Mitarbeitern, Kunden und Wettbewerbern eingefordert. (oe)

Kontakt:

Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsassessorin. IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de