Verstöße gegen das Bundesdatenschutzgesetz (BDSG) werden mit den Bußgeldvorschriften des § 43 BDSG sanktioniert. Hierbei zählt der Katalogtatbestand des § 43 Abs. 1 BDSG einzelne Vorschriften des BDSG auf, bei deren vorsätzlichem oder fahrlässigem Verstoß ein Bußgeld von bis zu 50.000 € drohen. Die häufigsten Verstöße zu denen es in der Praxis kommt, sind hierbei folgende:
Verletzung der Pflicht zur Bestellung eines Datenschutz-Beauftragten (§4f BDSG):
Es wurde kein Datenschutzbeauftragter in der vorgeschriebenen Form bestellt, obwohl die Bestellung eines solchen gesetzlich vorgeschrieben ist oder es wurde ein Datenschutzbeauftragter zwar formal korrekt bestellt, dieser entfaltet aber keine Tätigkeiten als Datenschutzbeauftragter (Scheinbestellung, Pseudo-Bestellung). Ein Verstoß liegt auch vor, wenn bei dem bestellten Datenschutzbeauftragten aufgrund einer unzulässigen Interessenkollisionen die notwendige Zuverlässigkeit gemäß (§4f BDSG) fehlt.
Pflichtverletzungen im Zusammenhang mit der Auftragsdatenverarbeitung (§11 BDSG)
Ein Bußgeld droht, wenn ein Auftrag im Rahmen der Auftragsdatenverarbeitung nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt wurde oder sich der Auftragnehmer bei der Auftragsdatenverarbeitung nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt hat.
Unterlassen der Unterrichtung des Betroffenen bei der Nutzung von Daten für Werbezwecke und für den Adresshandel. Der Betroffene ist gemäß (§ 28 Abs. 4 BDSG) bei Ansprache zum Zwecke der Werbung oder Markt- und Meinungsforschung bzw. bei der Begründung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses zu unterrichten.
Verstöße bei der Erteilung einer Auskunft an den Betroffenen (§ 34 BDSG):
Dem Recht auf Auskunft des Betroffenen wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig entsprochen oder die erforderlichen Daten werden entgegen § 34 Absatz 1a BDSG nicht gespeichert.
Durch die Novellierungen des BDSG im Jahre 2009 und 2010 muss in manchen Fällen nach Erhalt oder Übermitteln von personenbezogenen Daten deren Herkunft für einen Zeitraum von zwei Jahren gespeichert werden.
Verstöße gegen die Ordnungswidrigkeiten-Tatbestände des §43 BDSG ziehen Bußgelder bis zu 300.000 € nach sich. § 43 Abs. 2 BDSG pönalisiert insbesondere Pflichten beim Umgang mit personenbezogenen Daten. Hervorzuheben sind folgende Tatbestände:
- Unbefugtes Erheben oder Verarbeiten von personenbezogenen Daten, die nicht allgemein zugänglich sind
- Unbefugtes Abrufen und Verschaffen von nicht allgemein zugänglichen personenbezogenen Daten
- Zweckentfremdete Nutzung entgegen §§ 28 & 29 BDSG von übermittelten personenbezogenen Daten
- Das Missachten eines Widerspruchs des Betroffenen gemäß zur Nutzung seiner personenbezogenen Daten für Werbezwecke.
Zu beachten ist hierbei, dass jedes einzelne Vergehen gesondert mit einem Bußgeld belegt werden kann, was schnell sehr große Strafzahlungen nach sich ziehen kann.
Auf diese Weise wurden in der Vergangenheit bereits folgende Bußgelder festgesetzt:
- 120.000 € gegen eine Bank
- 137.500 € gegen eine Drogeriemarktkette
- 1.123.503 € gegen ein Transportunternehmen
- 1.462.000 € gegen eine Einzelhandelskette
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-
Quellen und Links:
Das BDSG im Netz
http://www.gesetze-im-internet.de/bdsg_1990/
Informationen zum BDSG
http://www.datenschutz.tec4net.com
tec4net – Ihr Starker IT-Partner für IT-Security (ISO27000) und Datenschutz (BDSG)
orformulierten Vertrag
<a href=“https://it-news-blog.com/wp-content/uploads/2012/03/ID_diebstahl.jpg“><img class=“alignright size-medium wp-image-784″ src=“https://it-news-blog.com/wp-content/uploads/2012/03/ID_diebstahl-300×225.jpg“ alt=““ width=“300″ height=“225″ /></a>Schufa IdentSafe ist ein neuer Dienst, der Nutzern dabei helfen soll, den Risiken eines Identitätsmissbrauchs im Internet zu begegnen. Wie arbeitet IdentSafe und was leistet es wirklich?
Liegen personenbezogene Daten öffentlich zugänglich im Internet, kann das verschiedene Ursachen haben.
Entweder der Betroffene hat die Daten selbst veröffentlicht, zum Beispiel in einem sozialen Netzwerk, ein Dritter hat die Daten öffentlich gemacht, die ihm anvertraut wurden, oder ein Datendieb hat die Daten bei dem Betroffenen oder bei einem Dritten entwendet und dann veröffentlicht.
In jedem Fall hat nun im Prinzip jeder Internetnutzer die Möglichkeit, die offen liegenden Daten zu missbrauchen.
Die Basis für einen <strong>Identitätsdiebstahl</strong> oder <strong>Identitätsmissbrauch</strong> ist gelegt.
<strong>Daten im Internet aufspüren</strong>
Seit Kurzem bietet die Schufa einen Dienst namens Schufa IdentSafe an. Damit sollen sich Verbraucher besser vor einem Identitätsmissbrauch im Internet schützen können.
Funktionieren soll dies so:
<ul>
<li>Der Nutzer meldet sich für den kostenpflichtigen Dienst (rund 40 Euro im Jahr) an.</li>
<li>Dann meldet der Nutzer an die Schufa, welche vertraulichen Daten von ihm nicht im Internet auftauchen sollen.</li>
<li>Nach diesen Daten sucht nun der IdentSafe-Dienst einmal täglich im offenen Internet.</li>
<li>Werden die vom Nutzer genannten Daten oder eine bestimmte Kombination aus diesen Daten (z.B. Name in Verbindung mit Kreditkartennummer) im Internet entdeckt, dann erhält der Nutzer eine entsprechende Warnung per E-Mail oder SMS.</li>
<li>Nun kann der Nutzer entscheiden, wie reagiert werden soll. Sollen die Daten zum Beispiel auf der Webseite, auf der sie gefunden wurden, gelöscht werden? Sollen die Daten aus bestimmten Suchmaschinen gelöscht werden?</li>
<li>Entsprechend Kundenauftrag nimmt die Schufa Kontakt mit Webseitenbetreibern bzw. Suchmaschinenbetreibern auf, verlangt die Löschung und prüft nach drei Wochen, ob wirklich gelöscht wurde. Wenn nicht, kommt eine Erinnerung an den zuständigen Webseiten- oder Suchmaschinenbetreiber. Klappt es mit der Löschung trotzdem nicht, wird der Kunde entsprechend informiert, auch über mögliche weitere Schritte.</li>
</ul>
<strong>Keine geheimen Quellen, keine Löschgarantie!</strong>
Wenn man die Beschreibung des Dienstes Schufa IdentSafe genau betrachtet, stellt man Folgendes fest:
<ul>
<li>Wie den AGBs zu diesem Dienst zu entnehmen ist, durchsucht IdentSafe das offene Internet, „weder private Chatrooms oder Newsgroups noch nur kostenpflichtig erreichbare Daten“. Im Prinzip werden also Quellen durchsucht, die jeder Internetnutzer selbst mit einer Personensuchmaschine oder einem Online-Reputationsdienst anderer Art durchsuchen kann.</li>
<li>Die Suchergebnisse sind nicht unbedingt vollständig und korrekt („Aufgrund der technischen Gegebenheiten und des … Aktualisierungszyklus kann der IdentSafe-Monitor nicht immer alle im Internet relevanten Daten Ihrer Person finden, so dass die gefundenen Treffer ggf. nicht vollständig und nicht richtig sein können.“)</li>
<li>Einen Antrag auf Löschung bei einem Webseiten- oder Suchmaschinenbetreiber kann jeder Betroffene selbst stellen.</li>
<li>Müssen wirklich Daten aus dem Internet entfernt werden, ist auch mit IdentSafe kein schneller Mechanismus zur Hand. Die Kontrolle der angefragten Löschung erfolgt zum Beispiel nach drei Wochen, eine Löschgarantie gibt es (natürlich) auch hier nicht.</li>
</ul>
<strong>Eigene Daten schützen, statt sie nur zu suchen</strong>
Somit ist Schufa IdentSafe ein Dienst, der ähnlich wie ein Online-Reputationsdienst nach bestimmten Daten sucht, Fundstellen meldet und bei dem Löschantrag behilflich ist, unter anderem mit einer speziellen Hotline, an die sich ein Betroffener als Kunde des Dienstes wenden kann.
<strong>Ein Dienst wie IdentSafe kann also den aktiven Online-Schutz nicht erhöhen, also z.B. einen Datendiebstahl verhindern. Denn gesucht wird nur nach Daten, die bereits in das Internet geflossen sind.</strong>
Es gilt das Motto „Vorbeugen ist besser als Heilen“, insbesondere dann, wenn die Heilung, in diesem Fall die Löschung der Daten, weder gewiss ist, noch eine tatsächliche Heilung darstellen kann. Schließlich können die Daten bis zur Umsetzung des Löschantrags schon lange außerhalb des Internets als Kopie liegen und missbraucht werden.
<strong>Matthias A. Walter,</strong> <a href=“http://www.tec4net.com“ target=“_blank“>http://www.tec4net.com</a>
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-<strong> </strong>
<strong>Quellen und Links:</strong>
Webseite Schufa IdentSafe
<a href=“http://www.wienerzeitung.at/nachrichten/wirtschaft/oesterreich/443292_Datenleck-am-Landesgericht-Wr.-Neustadt.html“ target=“_blank“></a><a href=“https://www.meineschufa.de/index.php?site=22_1″ target=“_blank“>https://www.meineschufa.de/index.php?site=22_1</a>
Studie des Bundesamt für Sicherheit in der Informationstechnik (BSI)
<a href=“https://www.bsi.bund.de/ContentBSI/Presse/Kurzmitteilungen/Kurzmit2010/Studie_Identitaetsdiebstahl_090610.html“ target=“_blank“>https://www.bsi.bund.de/ContentBSI/Presse/Kurzmitteilungen/Kurzmit2010/Studie_Identitaetsdiebstahl_090610.html</a>
<strong>tec4net Ihr Starker IT-Partner</strong>
<strong><a href=“http://www.tec4net.com“ target=“_blank“><img class=“size-full wp-image-770 alignleft“ src=“https://it-news-blog.com/wp-content/uploads/2012/02/logo_560x90_xing.jpg“ alt=““ width=“560″ height=“90″ /></a>
</strong>
<p style=“text-align: left;“></p>
<strong> </strong>
<strong> </strong>
<strong> </strong>
<strong> </strong>
<div style=“width: 1px; height: 1px; overflow: hidden;“>vorformulierten Vertrag<strong><a href=“http://www.tec4net.com“ target=“_blank“><img class=“size-full wp-image-759 alignleft“ src=“https://it-news-blog.com/wp-content/uploads/2012/01/logo_symantec_336x280_google_c.jpg“ alt=““ width=“336″ height=“280″ /></a></strong></div>
