Bei Einführung der Datenschutzgrundverordnung (DSGVO) sorgten diese Zahlen bei vielen Unternehmen für unruhige Nächte: Bußgelder bis zur Höhe von 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes konnten die Datenschutzbehörden plötzlich anordnen. Insbesondere die Verschärfung dieses Bußgeldrahmens hat dazu geführt, dass Datenschutz in den allermeisten Unternehmen heute ernst genommen wird.
Öffentliche Stellen sind jedoch von diesen Bußgeldern ausgenommen – obwohl auch sie sich an den Datenschutz halten müssen. So spricht etwa die Landesdatenschutzbeauftragte von Niedersachsen, Barbara Thiel davon, ihre Behörde sei gegenüber öffentlichen Stellen ein „zahnloser Tiger“.
Keine Bußgelder für Behörden
Ausgeschlossen sind die Bußgelder nach § 43 Abs. 3 Bundesdatenschutzgesetz (BDSG). „In diesem Sinne könnte man von einem zahnlosen Tiger sprechen“, sagt Christoph Callewaert, Rechtsanwalt und Datenschutzexperte bei der Kanzlei Reuschlaw Legal Consultants. Datenschutzbehörden fehle damit ein wichtiges Druckmittel, um Datenschutzrecht durchzusetzen. „Allerdings sind Bußgelder nicht das einzige Mittel“, schränkt Callewaert ein. Vom Prinzip her steht den Datenschutzbehörden das Instrumentarium aus Art. 58 DSGVO zur Verfügung. Sie haben Untersuchungsbefugnisse, können also von der jeweiligen öffentlichen Stelle Informationen einfordern. Sie können warnen und verwarnen und haben darüber hinaus die Möglichkeit Anweisungen zu erteilen, denen dann die öffentliche Stelle folgen muss.
„Aus meiner Erfahrung wissen die Datenschutzbehörden gut, wie sie dieses Instrumentarium nutzen müssen“, sagt Christoph Callewaert. „Wir haben das unter anderem bei der Nutzung von Videokonferenz-Tools gemerkt. Bereits die Warnung, die Nutzung von bestimmten Anbietern zu unterbinden, hat für ein großes mediales Echo gesorgt.“ Schon durch die Androhung werde ein Druck aufgebaut, der durchaus mit einem Bußgeld vergleichbar ist, wenn nicht sogar stärker als ein solches wirkt.
Datenschutzbehörden können Untersuchungen anordnen
Prinzipiell muss sich die öffentliche Stelle an die Anweisungen halten. Allerdings gilt hier wie bei jedem öffentlichen Handeln: Die Anweisung drückt erst einmal nur die Rechtsauffassung der Datenschutzbehörde aus. Wird die Rechtsauffassung nicht geteilt, kann es die öffentliche Stelle auch darauf ankommen lassen, ihre eigene Position zu vertreten. „Wir haben in Deutschland 17 Landesbehörden, einen nationalen Datenschutzbeauftragten und europaweit natürlich unzählige weitere Datenschutzaufsichtsbehörden, die nicht immer der gleichen Meinung sind“, sagt Callewaert. 17 Landesbehörden sind es, da es in Bayern zwei gibt, eine für öffentliche und eine für nicht öffentliche Stellen.
Zwischen Datenschutzbehörden und öffentlichen Stellen ist beispielsweise die Nutzung von Facebook-Seiten umstritten sowie der Einsatz von Microsoft 365. „Diese Fälle kann man durchaus differenziert sehen – und in den Konsequenzen unterschiedlicher Meinung sein“, sagt der Rechtsanwalt.
Ganz ausgeschlossen sind Bußgelder darüber hinaus nicht: Sobald öffentliche Stellen wirtschaftlich handeln, werden sie im Datenschutzrecht unter anderem nach §2 Abs. 5 BDSG wie nicht öffentliche Stellen behandelt. Das betrifft zum Beispiel Unternehmen der öffentlichen Hand wie Krankenhäuser oder Stadtwerke.
Bußgelder für Mitarbeiter*innen des öffentlichen Diensts
In Ausnahmefällen sind auch Sanktionen gegenüber Einzelpersonen möglich. So hat etwa die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder gegenüber mehreren Polizisten wegen unbefugter Nutzung der Polizeidatenbank POLIKS verhängt. Sie hatten die Datenbank zu privaten Zwecken missbraucht, etwa, um nach dem Lebensgefährten einer Ex-Frau zu recherchieren oder um die Telefonnummer einer Zeugin zu bekommen und diese nach einer privaten Verabredung zu fragen.
Dr. Felix Glocker, Rechtsanwalt und Datenschutzspezialist bei der Kanzlei CMS Hasche Sigle glaubt, dass die Behörden durchaus Mittel und Wege haben, ihre Anliegen durchzusetzen.
Angedrohte Untersagung gegen Gematik
So könne etwa das Verbot von Datenverarbeitungen ein scharfes Schwert sein. Als Beispiel nennt er einen aktuellen Fall, der die Gematik betrifft. Die Gematik ist ein von den Spitzenorganisationen des deutschen Gesundheitswesens gegründeter IT-Dienstleister. Über ein System der Gematik wären beinahe unverschlüsselt eRezepte versendet worden. „Mit den unverschlüsselt versendeten eRezepten wäre ein Zugriff auf die vollständige ärztliche Verordnung unter anderem mit den jeweiligen Arzneimitteln möglich gewesen“, erzählt Dr. Glocker. „Als Resultat der angedrohten Untersagung durch die Datenschutzbehörde Schleswig-Holstein hat die Gematik auf den unverschlüsselten Versand verzichtet.“
Der Rechtsanwalt schränkt jedoch ein, dass bloße Verbote im Einzelfall kaum in Abschreckung für zukünftige Fälle resultieren. „Ein Recht, Bußgelder zu verhängen, wäre natürlich wirksamer. So ermöglicht der Druck von außen durch Bußgelder Datenschutzbefürworter:innen innerhalb von öffentlichen Stellen mehr Ressourcen für Datenschutz-Compliance einzuwerben.“
Die öffentlichen Stellen bemühten sich im Allgemeinen durchaus, rechtmäßig zu handeln, sagt Dr. Felix Glocker. „Gleichzeitig gibt es in Zeiten knapper staatlicher Mittel häufig nur ein knappes Budget für Datenschutz-Compliance. Deshalb gibt es besonders in kleinen Behörden bisweilen noch Lücken.“ Er empfiehlt, den Datenschutz von Anfang an mit bei Planungen einzubinden. So können öffentliche Stellen eine von Anfang an rechtmäßige Lösung aufsetzen und für die Zukunft viele Probleme vermeiden.
