Haftungsrisiken bei Verstößen gegen die Landesdatenschutzgesetze

1. Verhängung eines Bußgeldes
Bei Verstößen gegen die landesrechtlichen Datenschutzvorschriften können bundeslandabhängig Bußgelder zwischen 25.000 und 50.000,00 EUR verhängt werden (vgl. z.B. Art. 37 I, II BayDSG, § 34 II DSG NRW).

2. Verhängung einer Freiheitsstrafe oder Geldstrafe
In besonders schwerwiegenden Fällen (datenschutzwidrige Tathandlungen in Bereicherungs- oder Schädigungsabsicht) droht ferner die Verhängung einer Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe (vgl. z.B. Art. 37 III BayDSG, § 33 DSG NRW).

3. Schadensersatzpflicht
Öffentliche Stellen sind grds. auch verpflichtet, einem Betroffenen den Schaden zu ersetzen, der ihm durch eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten entstanden ist (vgl. z.B. Art. 14 BayDSG, § 20 DSG NRW).

4. Imageverlust
Nicht zuletzt droht bei Verletzung datenschutzrechtlicher Bestimmungen ein erheblicher, nur schwer zu behebender Imageverlust der betroffenen öffentlichen Stelle.

5. Datenpannen aus der Praxis

Wie zahlreiche Fälle aus der Praxis zeigen, werden – insbesondere grobe – Verstöße gegen datenschutzrechtliche Bestimmungen in der breiten Öffentlichkeit wahrgenommen und besprochen:

- Offener E-Mail Verteiler

So geriet die Agentur für Arbeit Celle in den Fokus der Presse. Eine Mitarbeiterin der vorstehenden Agentur für Arbeit versendete eine E-Mail an zahlreiche Arbeitssuchende mit offenem Verteiler. Im Zuge der Versendung erhielten deshalb die jeweiligen E-Mail-Empfänger unzulässigerweise auch von den jeweils anderen Empfänger-Adressen Kenntnis. Der Vorfall schlug derart hohe Wellen, dass sich in der Konsequenz sogar der Bundesdatenschutzbeauftragte Peter Schaar mit dem Fall zu befassen hatte.

Quelle:

http://www.cellesche-zeitung.de/website.php/website/story/190671

Tipp: Derartige Fehler und damit einhergehende Bußgelder für Mitarbeiter und Vorgesetzte sind bei entsprechender Sensibilisierung der handelnden Personen durch einen (externen) behördlichen Datenschutzbeauftragten im Wege regelmäßiger Schulungen kostengünstig und vergleichsweise leicht zu vermeiden. Schließlich genügt es bei einer Massen-E-Mail, deren Empfängeradressen für die jeweils anderen nicht sichtbar sein soll, die E-Mail-Adressen nicht in die Felder „An“, „Empfänger“ oder „“Cc“ (carbon copy), sondern in das Feld „Bcc“ (blind carbon copy) einzufügen. In dieses Feld eingetragene E-Mail-Adressen werden gerade nicht offen übertragen. 

- Kfz-Steuer-Abrechnung im Lastschriftverfahren

In einem anderen Fall kam es beim Einzug der Kraftfahrzeugsteuer mittels Lastschrift zu einer unzulässigen Datenübermittlung an die beteiligten Kreditinstitute. So wurden behördenseits u.a. Kfz-Kennzeichen und sensible Steuerdaten (z.B. Steuernummer) der Steuerpflichtigen übermittelt. Dieser Vorfall zog Ermittlungen des zuständigen Landesbeauftragten für den Datenschutz Baden-Württemberg nach sich, die letztlich ergaben, dass die unzulässige Datenübermittlung einem vorherigen Software-Update geschuldet war.

Quelle:

http://www.baden-wuerttemberg.datenschutz.de/pm-datenschutzpanne-beim-elektronischen-lastschriftverfahren-fur-die-kfz-steuer/

Tipp: Datenschutzrelevante Software sollte vor Ihrem ersten Einsatz sowie nach jedem Update zuverlässig auf Datenschutzkonformität getestet werden. Wiederum stellt die Sensibilisierung der mit der Software befassten Mitarbeiter für die enorme Wichtigkeit des Datenschutzes sicher, Systemlücken frühzeitig zu erkennen.

- Antrag Abwrackprämie

Im Zuge der Bearbeitung der Flut von Anträgen auf Erhalt der Abwrackprämie im Jahr 2009, schaltete das Bundesamt für Wirtschaft- und Ausfuhrkontrolle zur Unterstützung einen externen Dienstleister ein. Im Zuge dessen kam es zum unverschlüsselten Versand von personen- und fahrzeugbezogenen Daten an teilweise falsche Adressaten. Der Fehler wurde in einer Fehlkonfiguration vermutet.

Quelle:

http://www.rp-online.de/auto/news/abwrackpraemie-so-kam-es-zur-datenpanne-1.2413363

Tipp: Auch dieser Vorfall zeigt, wie wichtig ein ausgiebiger Test auf Datenschutzkonformität vor der eigentlichen Verwendung einer datenschutzrelevanten Software ist (s.o.).