Wer in Deutschland Datenschutzvorschriften ignoriert, hat relativ wenig zu befürchten. Denn das Risiko ertappt zu werden, ist gering. Der rheinland-pfälzische Landesbeauftragte für Datenschutz Stefan Brink beispielsweise bilanziert:
"Die Chance – bezogen auf Rheinland-Pfalz – dass eine Aufsichtsbehörde unangekündigt und anlasslos bei einem Unternehmen auftaucht, sieht so aus, dass wir etwa alle 212 Jahre bei jedem Unternehmen in Rheinland-Pfalz vorbeikommen."
Wenn die Datenschützer dann aber mal auf Vergehen stoßen oder von anderen darauf hingewiesen werden, dann haben sie gleich mehrere Optionen erklärt der Jura-Professor und Datenschutzexperte Ralf Abel. Erstens: Strafanzeige erstatten.
"Die zweite Möglichkeit sind administrative Auflagen, die können gehen bis zur Forderung, einen ungeeigneten Datenschutzbeauftragten zu entlassen, dann gibt es die Möglichkeit, Bußgelder zu verhängen, neben den Bußgeldern gibt es auch die Möglichkeit der Gewinnabschöpfung: d.h., wenn ein Unternehmen durch datenschutzwidriges Verhalten einen ungerechtfertigten Gewinn erzielt, kann dieser Gewinn abgeschöpft werden."
Abel ist allerdings kein Fall aus Deutschland bekannt, in dem tatsächlich Gewinne abgeschöpft wurden. Das könnte daran liegen, dass viele deutsche Datenschutzbehörden einen eher kooperativen Kurs fahren. Der Präsident des Bayrischen Landesamtes für Datenschutzaufsicht Thomas Kranig beschreibt den Alltag so:
"Wir haben in den letzten beiden Jahren 1400 Unternehmen beraten und haben, ich glaube 36 Bußgeldbescheide erlassen. Wenn sie diese Relation sehen, dann sehen Sie den Schwerpunkt unserer Tätigkeit."
Und diese Bußgelder seien auch nicht besonders hoch, so Kranig, denn sie würden meist von Einzelpersonen eingefordert, nicht von den Unternehmen selbst.
"Das kann z. B. eine Mitarbeiterin sein, die eben besonders sensible Daten nicht in einen vorgesehenen Papierkorb, der sicher entsorgt werden soll, sondern ins Altpapier gelegt hat."
Den rechtlich möglichen Rahmen von Bußgeldern bis zu 300.000 Euro habe seine Behörde noch nie ausgeschöpft, so der bayrische Datenschützer. Der schleswig-holsteinische Landesdatenschützer Thilo Weichert beurteilt die Lage viel kritischer. Er will eher die Firmen selbst – statt Einzelpersonen - zur Verantwortung ziehen. Der Haken:
"Wenn die wirklich renitent sind, dann gehen die in den Einspruch und vors Amtsgericht, die Amtsgerichte sind absolut unwillig, sich mit so etwas zu beschäftigen und es dauert irre lang."
Außerdem kommen die Gerichte oft auch noch zu einem anderen Urteil als von Weichert gewünscht. Erst kürzlich hat das Oberverwaltungsgericht Schleswig seinen Versuch gestoppt, Facebook die Klarnamenpflicht für Nutzer zu verbieten. Die Begründung: Hier sei nicht deutsches, sondern irisches Datenschutzrecht anzuwenden.
Als seine ultimative Waffe sieht der umtriebige Datenschützer daher in vielen Fällen die Öffentlichkeit:
"Bei den ganz rentitenten Kantonisten, da müssen wir an die Öffentlichkeit gehen. Wir erleben, dass das Datenschutzrecht, was die Sanktionsmöglichkeiten angeht, noch sehr minderwertig und wenig – auch in der öffentlichen Wahrnehmung – ernst genommen wird. Etwa: wir hatten irgendwelche Psychiatrie-Akten, die im Internet abrufbar waren, das ist natürlich etwas Hochsensibles, was also alle Leute aufregt und dieses Unternehmen ist nicht ansatzweise bereit, zu erkennen, dass sie da 'Schiete' gebaut haben, dann bleibt mir nichts anderes übrig als zu sagen: Passt auf, wenn ihr mit diesem Unternehmen zu tun habt"
Die Europäische Union könnte Weichert und seinen Kollegen künftig neue Sanktionsmöglichkeiten bescheren. Denn das Europäische Parlament und der Ministerrat diskutieren derzeit einen Verordnungsentwurf der EU-Kommission für ein neues Datenschutzrecht. Darin stehen auch schärfere Sanktionen, als sie das Bundesdatenschutzgesetz derzeit noch vorsieht. Etwa Strafen von 2 Prozent des globalen Jahresumsatzes bei rechtswidriger Datenverarbeitung. Ob und wann eine solche Regelung Realität wird, ist aber noch völlig offen. Der Europäische Datenschutzbeauftragte Peter Hustinx jedenfalls hegt diese Hoffnung:
"Wir brauchen starke Sanktionen für starke Verstöße. Seitdem in der EU über Geldstrafen gesprochen wird, hat sich die Diskussion völlig verändert."
"Die Chance – bezogen auf Rheinland-Pfalz – dass eine Aufsichtsbehörde unangekündigt und anlasslos bei einem Unternehmen auftaucht, sieht so aus, dass wir etwa alle 212 Jahre bei jedem Unternehmen in Rheinland-Pfalz vorbeikommen."
Wenn die Datenschützer dann aber mal auf Vergehen stoßen oder von anderen darauf hingewiesen werden, dann haben sie gleich mehrere Optionen erklärt der Jura-Professor und Datenschutzexperte Ralf Abel. Erstens: Strafanzeige erstatten.
"Die zweite Möglichkeit sind administrative Auflagen, die können gehen bis zur Forderung, einen ungeeigneten Datenschutzbeauftragten zu entlassen, dann gibt es die Möglichkeit, Bußgelder zu verhängen, neben den Bußgeldern gibt es auch die Möglichkeit der Gewinnabschöpfung: d.h., wenn ein Unternehmen durch datenschutzwidriges Verhalten einen ungerechtfertigten Gewinn erzielt, kann dieser Gewinn abgeschöpft werden."
Abel ist allerdings kein Fall aus Deutschland bekannt, in dem tatsächlich Gewinne abgeschöpft wurden. Das könnte daran liegen, dass viele deutsche Datenschutzbehörden einen eher kooperativen Kurs fahren. Der Präsident des Bayrischen Landesamtes für Datenschutzaufsicht Thomas Kranig beschreibt den Alltag so:
"Wir haben in den letzten beiden Jahren 1400 Unternehmen beraten und haben, ich glaube 36 Bußgeldbescheide erlassen. Wenn sie diese Relation sehen, dann sehen Sie den Schwerpunkt unserer Tätigkeit."
Und diese Bußgelder seien auch nicht besonders hoch, so Kranig, denn sie würden meist von Einzelpersonen eingefordert, nicht von den Unternehmen selbst.
"Das kann z. B. eine Mitarbeiterin sein, die eben besonders sensible Daten nicht in einen vorgesehenen Papierkorb, der sicher entsorgt werden soll, sondern ins Altpapier gelegt hat."
Den rechtlich möglichen Rahmen von Bußgeldern bis zu 300.000 Euro habe seine Behörde noch nie ausgeschöpft, so der bayrische Datenschützer. Der schleswig-holsteinische Landesdatenschützer Thilo Weichert beurteilt die Lage viel kritischer. Er will eher die Firmen selbst – statt Einzelpersonen - zur Verantwortung ziehen. Der Haken:
"Wenn die wirklich renitent sind, dann gehen die in den Einspruch und vors Amtsgericht, die Amtsgerichte sind absolut unwillig, sich mit so etwas zu beschäftigen und es dauert irre lang."
Außerdem kommen die Gerichte oft auch noch zu einem anderen Urteil als von Weichert gewünscht. Erst kürzlich hat das Oberverwaltungsgericht Schleswig seinen Versuch gestoppt, Facebook die Klarnamenpflicht für Nutzer zu verbieten. Die Begründung: Hier sei nicht deutsches, sondern irisches Datenschutzrecht anzuwenden.
Als seine ultimative Waffe sieht der umtriebige Datenschützer daher in vielen Fällen die Öffentlichkeit:
"Bei den ganz rentitenten Kantonisten, da müssen wir an die Öffentlichkeit gehen. Wir erleben, dass das Datenschutzrecht, was die Sanktionsmöglichkeiten angeht, noch sehr minderwertig und wenig – auch in der öffentlichen Wahrnehmung – ernst genommen wird. Etwa: wir hatten irgendwelche Psychiatrie-Akten, die im Internet abrufbar waren, das ist natürlich etwas Hochsensibles, was also alle Leute aufregt und dieses Unternehmen ist nicht ansatzweise bereit, zu erkennen, dass sie da 'Schiete' gebaut haben, dann bleibt mir nichts anderes übrig als zu sagen: Passt auf, wenn ihr mit diesem Unternehmen zu tun habt"
Die Europäische Union könnte Weichert und seinen Kollegen künftig neue Sanktionsmöglichkeiten bescheren. Denn das Europäische Parlament und der Ministerrat diskutieren derzeit einen Verordnungsentwurf der EU-Kommission für ein neues Datenschutzrecht. Darin stehen auch schärfere Sanktionen, als sie das Bundesdatenschutzgesetz derzeit noch vorsieht. Etwa Strafen von 2 Prozent des globalen Jahresumsatzes bei rechtswidriger Datenverarbeitung. Ob und wann eine solche Regelung Realität wird, ist aber noch völlig offen. Der Europäische Datenschutzbeauftragte Peter Hustinx jedenfalls hegt diese Hoffnung:
"Wir brauchen starke Sanktionen für starke Verstöße. Seitdem in der EU über Geldstrafen gesprochen wird, hat sich die Diskussion völlig verändert."