Datenschutz / E-Commerce / Internetrecht / Sachsen / Strafrecht / Verbraucherschutz /
Artikelnummer: 13021617
Trennlinien
AUFSICHTSBEHÖRDLICHE TÄTIGKEIT GEGENÜBER UNTERNEHMEN DER UNISTER-UNTERNEHMENSGRUPPE
Seit dem Sommer 2012 bemüht sich der Sächsische Datenschutzbeauftragte im Rahmen seiner Zuständigkeit als Datenschutzaufsichtsbehörde um eine Tiefenprüfung der Datenverarbeitung innerhalb der Unister-Unternehmensgruppe. Diese Tiefenprüfung kann derzeit nicht fortgesetzt werden, da Unister sich weigert, die zuletzt mit Heranziehungsbescheiden vom 14. August 2012 zwangsweise erbetenen Auskünfte zu erteilen, da sich das Unternehmen teils dem Grunde nach, teils dem Umfang nach, nicht dazu verpflichtet sieht.
1. Datenschutzrechtliche Auskünfte Mit Beschlüssen vom 3. und 11. Dezember 2012 hat das Verwaltungsgericht Leipzig im einstweiligen Rechtsschutzverfahren Unisters Pflicht zur Auskunft bestätigt. Gegen die Entscheidungen hat Unister Beschwerde zum Oberverwaltungsgericht erhoben. Verstöße gegen die Auskunftspflicht können mit einem Bußgeld bis zu 50 000 Euro geahndet werden (§ 43 Abs. 1 Nr. 10 i. V. m. § 43 Abs. 3 Satz 1 Bundesdatenschutzgesetz – BDSG). Wegen der nicht abgeschlossenen Tiefenprüfung können vom Sächsischen Datenschutzbeauftragten derzeit noch keine Aussagen zur Rechtmäßigkeit der Datenverarbeitung durch Unternehmen der Unister-Unternehmensgruppe getroffen werden. 2. Betrieblicher Datenschutzbeauftragter Der Sächsische Datenschutzbeauftragte ist der Auffassung, dass in den Unternehmen der Unister-Unternehmensgruppe entgegen der gesetzlichen Verpflichtung aus § 4f BDSG teils seit Jahren kein betrieblicher Datenschutzbeauftragter bestellt worden ist, da die Unternehmen bis vor kurzem einen wesentlichen Miteigentümer (Gesellschafter) mit dieser Funktion betraut hatten. Eine wirksame Bestellung liegt aber nur vor, wenn der bestellte Datenschutzbeauftragte nicht wegen eines anderen Interesses gehindert ist, seine Funktion zuverlässig und unabhängig auszuüben. Im Fall der Unister-Unternehmensgruppe war der bisher (vermeintlich) Bestellte allerdings wegen seines eigenen finanziellen Interesses objektiv gehindert, die für die Aufgabe des betrieblichen Datenschutzbeauftragten notwendige Unabhängigkeit gegenüber dem wirtschaftlichen Interesse des auch ihm gehörenden Unternehmens aufzubringen, da es mit seinem finanziellen Interesse als Miteigentümer (bzw. Mitinhaber) identisch war. Der Sächsische Datenschutzbeauftragte hat daher gegen mehrere Unternehmen der Unister-Gruppe die Anordnung erlassen, einen (anderen) betrieblichen Datenschutzbeauftragten zu bestellen. Gegen diese Anordnungen wehrt sich Unister weiterhin vor dem Verwaltungsgericht Leipzig. Eine Entscheidung des Gerichts steht jedoch aus. Allerdings hat Unister einen Antrag auf einstweiligen Rechtschutz kurz vor einer vorläufigen gerichtlichen Entscheidung zurückgenommen und nunmehr – nach Maßnahmen des Verwaltungszwanges – eine andere Person zum betrieblichen Datenschutzbeauftragten bestellt. Der Sächsische Datenschutzbeauftragte prüft derzeit, ob die vorgenommene Bestellung den gesetzlichen Vorgaben entspricht. Eine (auch fahrlässig erfolgte) unwirksame Bestellung eines betrieblichen Datenschutzbeauftragten kann mit einer Geldbuße bis zu 50 000 Euro geahndet werden (§ 43 Abs. 1 Nr. 2 i. V. m. § 43 Abs. 3 Satz 1 BDSG). 3. Anhaltspunkte für eine Verletzung der Informationspflicht Im Dezember 2012 erhielt der Sächsische Datenschutzbeauftragte durch Medienberichte Hinweise darauf, Kreditkartendaten der Kunden von Unister könnten (auch mehrfach) wegen unzureichenden Sicherheitsvorkehrungen im Zahlungsverkehr unbefugt Dritten zur Kenntnis gelangt sein. Gelangen Kreditkartendaten unrechtmäßig Dritten zur Kenntnis, sind darüber gemäß § 42a Satz 1 Nr. 4 BDSG unverzüglich die zuständige Datenschutzaufsichtsbehörde und die betroffenen Kunden zu informieren. Verstöße gegen die Mitteilungspflicht können mit einem Bußgeld bis zu 300 000 Euro geahndet werden (§ 43 Abs. 2 Nr. 7 i. V. m. § 43 Abs. 1 Satz 1 BDSG). Der Sächsische Datenschutzbeauftragte hat wegen des Sachverhaltes bußrechtliche Ermittlungen aufgenommen. Der Ausgang des Verfahrens ist offen. 4. Datenleck bei Flugbuchungen über www.urlaubstours.de Der Sächsische Datenschutzbeauftragte hat nach dem öffentlichen Bekanntwerden einer Sicherheitslücke im Zusammenhang mit Ryanair-Flugbuchungen gegenüber der Unister-Tochter Urlaubstours GmbH am 4. Januar 2013 die unverzügliche Schließung der Sicherheitslücke angeordnet. Dieser Anordnung ist Urlaubstours zwischenzeitlich vollständig gefolgt. Die unbefugte (auch fahrlässige) Übermittlung personenbezogener Daten ist ordnungswidrig und kann mit einem Bußgeld bis zu 300 000 Euro geahndet werden (§ 43 Abs. 2 Nr. 1 i. V. m. § 43 Abs. 1 Satz 1 BDSG). 5. Strafanzeige und Strafantrag Der Sächsische Datenschutzbeauftragte bestätigt die auf staatsanwaltschaftlichen Mitteilungen beruhende Berichterstattung, dass wegen eines Straftatbestandes nach den Vorschriften des Bundesdatenschutzgesetzes Strafanzeige und Strafantrag gestellt wurde.

Quelle: Der Sächsische Datenschutzbeauftragte - PM vom 01.02.2013 von 01.02.2013
http://www.saechsdsb.de/ Externer Link
ArtikelübersichtFacebookNach oben