Gestern hatte ich nun ein Aha-Erlebnis beim Durchstöbern der aktuellen RDV 2009 Heft 5 (Recht der Datenverarbeitung, DATAKONTEXT): Auf Seite 205 beginnt ein Artikel “Datensündern auf der Spur – Bußgeldverfahren ungeliebtes Instrument der Datenschutzaufsichtsbehörden?” (Anmerkungen zu § 43 BDSG). Autorin ist Regierungsrätin Corinna Holländer, die als Justizreferentin beim Berliner Beauftragten für Datenschutz und Informationsfreiheit u.a. zuständig für die Bearbeitung von Bußgeldverfahren nach dem BDSG ist.

Aha

Der Artikel ist volle sieben Seiten lang und erscheint abschreckend juristisch-nüchtern. Der zugeneigte Leser wird aber nicht nur mit einer klaren Darstellung, sondern auch mit amüsanten Sprachschöpfungen bei Laune gehalten.

Als Gründe für die bisher geringe Zahl der Bußgeldbescheide der Datenschutzaufsichtsbehörden (Beispiel 2005/2006: Im Durchschnitt 2,75 pro Jahr und Bundesland) nennt die Autorin u.a. die personelle Unterbesetzung,  eine “Politik der Reserviertheit”, mangelnde Eingriffsbefugnisse und das politische Umfeld nach dem 11.09.2001.

Der “sanktionsrechtliche Aufrüstungseifer” des letzten Deutschen Bundestages hat dem BDSG durch die drei Novellen in 2009 insgesamt zwölf neue Bußgeldtatbestände beschert (“Trio mit 12 Fäusten”). Die einzelnen Neuerungen werden fachkundig beschrieben, weiter bestehende Lücken aufgezeigt.

Im Ausblick erwartet die Autorin für die zukünftige Praxis der Aufsichtsbehörden ein Nebeneinander von Zwangsgeldern (“zur Durchsetzung von einmal erforderlichen Handlungen”) und Bußgeldverfahren, letzere v.a. in den Fällen, “wo eine Kooperation nicht erkennbar oder die Normverdeutlichung unerlässlich ist”. Sie empfiehlt den Aufsichtsbehörden die Bildung eigener Dezernate zur Verfolgung datenschutzrechtlicher Ordnungswidrigkeiten, um die Verfahren professioneller zu gestalten.

Mein Eindruck: Hier schreibt jemand mit praktischen Erfahrungen. Ich kenne Corinna Holländer noch aus ihrer Zeit als Referentin bei Gisela Piltz MdB. Offenbar hat sie sich ihr Engagement nach dem Wechsel in die Behörde erhalten. Deshalb: Siehe Überschrift!

Interessant finde ich die Aussagen zur zukünftigen Vorbildrolle der Bahn:

Der neue Unternehmensvorstand hat demgegenüber den Datenschutz zu einer seiner obersten Prioritäten erklärt. Positiv hervorzuheben ist, dass jetzt der Datenschutz auf höchster Management-Ebene in einem eigenen Vorstandsressort „Compliance, Datenschutz und Recht“ angesiedelt ist. Das Unternehmen hat sich zum Ziel gesetzt, nicht nur die vorgeschriebenen technischen und organisatorischen Vorkehrungen gegen datenschutzrechtliche Verstöße zu treffen, sondern darüber hinaus in Sachen Datenschutz eine Modellfunktion zu übernehmen. Ein erster Schritt hierzu ist die eingeleitete Stärkung des Konzerndatenschutzbeauftragten. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, begrüßt diese Entwicklung ausdrücklich.

Datenschutzmodel(l) Deutsche Bahn – daran muss ich mich erst gewöhnen. Positiv anzumerken ist die Erwähnung der “eingeleiteten Stärkung des Konzerndatenschutzbeauftragten”.  Der betriebliche Datenschuztzbeauftragte ist nun einmal die gesetzlich verankerte Instanz – die man leider zu oft am ausgestreckten Arm zappeln lässt.

Die bußgeldbestraften kriminellen Abenteuer der Bahn betrafen vor allem Mitarbeiterdaten. Ich bin insbesondere gespannt, wie sich die neue Linie auf den Umgang mit Kundendaten auswirkt:

Schon vor den Skandalen im letzten Jahr hatte sich die DB nicht mit Ruhm bekleckert und im Jahr 2007 den BigBrotherAward erhalten. Die damalige Laudatio ist lesenswert – u.a. an der wiedergeschaffenen Möglichkeit zum anonymen Reisen müssen sich die angekündigten Bemühungen der Bahn in Zukunft messen lassen.

[Update 23.10.2009] In einer Presseerklärung der Bahn ist von der Vorbildfunktion nichts zu lesen. Allerdings will man bis Ende November mit dem Betriebsrat neue Leitlinien zum Arbeitnehmerdatenschutz vereinbaren.

[Update 23.10.2009] Die Bahn hat das Bußgeld akzeptiert: Link zur Pressemitteilung

Michael Bauchmüller berichtet in der Sueddeutschen:

Der Datenskandal bei der Deutschen Bahn hat für das Unternehmen ein teures Nachspiel. Nach Informationen der Süddeutschen Zeitung ging am Montag ein Bußgeldbescheid des Berliner Datenschutzbeauftragten Alexander Dix bei der Bahn ein. Darin fordert die Behörde eine Geldbuße von rund 1,1 Millionen Euro. Diese beziehe sich allein auf die schon früh bekannt gewordenen Verstöße gegen Datenschutzgesetze, hieß es bei der Behörde.

Wie zu Anfang des Jahres bekannt geworden war, hatte die Bahn seit 1998 insgesamt dreimal ihre Mitarbeiter sogenannten Massen-Screenings unterzogen. Diese sollten Fälle aufdecken, in denen Mitarbeiter sich über Scheinfirmen selbst lukrative Aufträge zuschanzen.

Reaktion Nummer 1: Werden jetzte die Tickets schon wieder teurer?

Reaktion Nummer 2: Spätestens seit dem Fall Lidl wissen wir, das auch Millionen-Bußgelder nicht automatisch zur Läuterung der Abgestraften führen.  Immerhin gibt es jetzt eine Hausmarke a la “Bußgeld je illegal überprüftem Mitarbeiter”:  Wenn wir grob von 3x 173.000 Mitarbeitern ausgehen, dann landen wir bei etwa 2 Euro pro Nase und Überprüfung. Ein gutes Argument,  warum eine Unternehmensleitung VOR einer geplanten Mitarbeiterüberprüfung ihren betrieblichen Datenschutzbeauftragten einbeziehen sollte. Datenschutz steht der Korruptionsbekämpfung nicht grundsätzlich im Weg: Es geht um das “Wie”.

Aber: Wie viel Datenschutzbeauftragte sind fachkundig genug, ihre Chefs entsprechend zu beraten? Der neue §32 im BDSG hilft hier wenigstens ansatzweise weiter; im Netz dürften diverse Stellungnahmen und Checklisten zu finden sein. Hat jemand was konkretes zur Hand?