Im Zeitraum 2015/2016 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) laut eigenem Bericht 173 Bußgeldvorgänge bearbeitet. Das sind 56 mehr als im letzten Berichtszeitraum. Davon wurde in 52 Fällen ein Bußgeld erlassen und in einem Fall eine Verwarnung ausgesprochen. Von den festgesetzten 52 Geldbußen waren 34 im dreistelligen Bereich, also bis maximal 999 Euro. Im vierstelligen Bereich wurden in den letzten zwei Jahren 13 Bußgelder festgelegt, im fünfstelligen Bereich insgesamt 5.

MIT BUSSGELD BELEGTE VERGEHEN

Unter den 52 mit Bußgeld bestraften Vergehen, fanden sich die folgenden Sachverhalte:

  • anlassloses Filmen im Straßenverkehr mit Hilfe von Dashboard Kameras aus Fahrzeugen heraus (mehrere Fälle);
  • unzulässige Übermittlung der IP- Adressen von Webseitennutzern durch den Einsatz von Tracking-Tools;
  • Verwendung einer E-Mail-Adresse für werbliche Zwecke trotz Werbewiderspruchs (mehrfach);
  • fehlender Hinweis auf das Werbewiderspruchsrecht;
  • Versendung einer E-Mail mit offenem E-Mail-Verteiler (mehrfach);
  • nicht rechtzeitige Auskunft nach § 34 BDSG an einen Betroffenen (mehrfach);
  • unrichtige Auskunft nach § 38 Abs. 3 BDSG an die Datenschutzaufsichtsbehörde (mehrfach);
  • unzulässige Beschaffung von Patientendaten für nichtdienstliche Zwecke durch Mitarbeiterin einer Arztpraxis bei einer anderen Arztpraxis;
  • Aushang von Krankheitslisten von Mitarbeitern am „Schwarzen Brett“;
  • Einsatz von Auftragsdatenverarbeitungsverträgen, die nicht den Anforderungen gem. § 11 Abs. 2 Satz 2 BDSG entsprachen;
  • wiederholte Faxversendung an unrichtigen Empfänger durch eine Arztpraxis;
  • Verkauf/Ankauf (Übermittlung) von Kundendaten (auch Nicht-Listendaten) im Zuge eines Asset Deal ohne vorherige Einräumung einer Widerspruchsmöglichkeit für die Kunden;
  • Zusendung eines Faxbriefs mit ärztlichem Befundbericht durch Klinik an eine zentrale Faxeinlaufstelle einer Behörde statt an die Beihilfestelle;
  • Mitteilung des Kontostands durch Bankmitarbeiter an einen Unbefugten;
  • zweckändernde Nutzung von Anleger-Adressdaten für anwaltliche Werbung;
  • Zusendung eines anwaltlichen Schreibens mit personenbezogenen Daten an eine „vermutete“ anwaltliche Vertreterin;
  • unberechtigte Einholung einer Bonitätsauskunft für private Zwecke;
  • Mitteilung offener Forderungen durch eine Kfz-Werkstatt an die Mutter der Lebensgefährtin des Kunden;
  • Übermittlung einer ärztlichen Diagnose durch Arzt an die Mutter des Patienten ohne Einwilligung;
  • Bestellung eines Datenschutzbeauftragten, der einer Interessenkollision unterliegt;
  • Übermittlung von Bestands- und Nutzungsdaten von Nutzern eines Telemediendienstes an einen anderen Telemediendienst ohne Einwilligung der Nutzer.

ACHTUNG BEI ASSET DEALS

Aus dieser Übersicht wird deutlich, dass die Ahndungen mit Geldbuße eine breite Palette von Verstößen aus den unterschiedlichsten Lebenssachverhalten betrafen. Besonders erwähnenswert war dem Landesbeauftragten aber zwei Fälle, der erste im Rahmen eines Asset Deals:

„Hier hatte der Betreiber eines Online-Shops seinen Shop an ein anderes Unternehmen derselben Branche veräußert und hierbei auch die Daten der Kunden übermittelt, darunter die E-Mail-Adressen und die Kaufhistorie. Die Kunden waren vorher über den geplanten Verkauf nicht informiert worden. Wir vertreten nach wie vor die Auffassung, dass Kundendaten – jedenfalls soweit sie über die in § 28 Abs. 3 Satz 2 BDSG genannten sog. Listendaten hinausgehen – auch im Zuge einer Geschäftsveräußerung nicht an einen anderen Rechtsträger übergeben werden dürfen, ohne den Kunden vorher zumindest eine Widerspruchsmöglichkeit gegen die Übermittlung ihrer Daten einzuräumen.“

GENAUE ANGABEN ZU DEN TOM IN ADV-VERTRÄGEN

Der zweite in Zusammenhang mit Auftragsdatenverarbeitung, bei dem die Mitarbeiter des BayLDA ein Bußgeld  „gegen ein Unternehmen festgesetzt haben, das mehrere Dienstleister als Auftragsdatenverarbeiter engagiert hatte, hierbei jedoch die im Gesetz geregelten inhaltlichen Anforderungen an einen schriftlichen Auftrag zur Auftragsdatenverarbeitung nicht erfüllt hat. Insbesondere fehlten den schriftlichen Aufträgen detaillierte, spezifische und auf den konkreten Auftragsdatenverarbeiter bezogene Festlegungen zu den technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten gemäß § 9 BDSG und der Anlage zu § 9 BDSG, obwohl solche Regelungen gemäß § 11 Abs. 2 Satz 2 Nr. 3 BDSG im schriftlichen Auftrag zwingend zu treffen sind.“ Ein Wiederholen des Gesetzeswortlauts zu den einzelnen Punkten ist laut dem Landesbeauftragten hier ganz klar unzureichend.