BL0G

Home / Blog

HSV, Datenschutz, ein Rucksack und 0:5 für Compliance?

von Stephan Gärtner

Auf ein Gespräch in der Verhandlungspause – Yves Wiemann und Dr. Stephan Gärtner

Am 14. August 2015 startete die Fußball-Bundesliga in ihre 53. Spielzeit – diesmal mit dem Klassiker FC Bayern München gegen den Hamburger SV. Das Ergebnis ist bekannt und soll nicht Gegenstand dieses Beitrags sein. Doch der HSV musste schon Tage zuvor eine Niederlage einstecken. Bislang unbekannte Täter sollen dem Manager des HSV, Peter Knäbel, einen Rucksack mit vertraulichen Unterlagen entwendet haben. Die Dokumente sollen Gehälter der Fußballprofis, Prämienzahlungen und sonstige Vertragsdetails betreffen. Glück im Unglück: Eine ehrliche Finderin entdeckte die gestohlenen Dokumente in einem Hamburger Park.
 
So weit, so gut. Doch es stellen sich einige Fragen: Wie kommen vertrauliche Unterlagen in einen Rucksack? Wie konnte der Diebstahl eines Rucksacks mit derart vertraulichen Informationen unentdeckt bleiben? Welche Konsequenzen hat dies? Um eines gleich klarzustellen: Es geht bei diesen Fragen nicht um den HSV. Es geht vielmehr um Fragen, die sich jedes Unternehmen, das vertrauliche Informationen hat, stellt.
 
Die in verschiedenen Kanzleien tätigen Berliner Rechtsanwälte Yves Wiemann und Dr. Stephan Gärtner erleben im Beratungsalltag, dass diese Compliance-Fragen immer wichtiger werden. Viel zu oft, werden solche „Lecks“ nicht ernst genommen. Mitarbeiter, die davon erfahren, melden dies nur selten an den betrieblichen Datenschutzbeauftragten (p.s.: wenn es diesen überhaupt gibt). Die im Compliance-Bereich tätigen Rechtsanwälte verwundert dies sehr. Denn die causa HSV zeigt doch deutlich, welche Imageverluste bei solchen „Lecks“ eintreten können. Dabei ist die Lösung so einfach. In einer Verhandlungspause sprachen Yves Wiemann und Dr. Stephan Gärtner über dieses Thema. Es folgt das Protokoll.
 
 
Yves Wiemann: Guten Morgen Stephan. Hier schau mal in die Zeitung: „Gehaltslisten des HSV verstreut im Park gefunden“. Die Millionaros werden ganz schön dumm aus der Wäsche gucken oder wie siehst Du das?
 
Dr. Gärtner: Hab ich längst gelesen. Kenne ich alles. Ich vertrete zwar nicht den HSV, aber ich kann mir ganz gut vorstellen, wie man sich dort fühlt. Es ist schon ein paar Jahre her, da rief mich ein Geschäftsführer an, weil ihm per Bescheid aufgegeben wurde, Maßnahmen zu ergreifen, die gerade eben solche Fälle verhindern sollen.  
 
Yves Wiemann: Ach, das war so ein Bescheid nach § 38 Absatz 5 Satz 1 BDSG. Danach haben die Landesaufsichtsbehörden die Möglichkeit über die Anordnung von Maßnahmen festgestellte organisatorische oder technische Mängel des jeweiligen Unternehmens beheben zu lassen. Dies sind beispielsweise die Schaffung von Zutritts- und/oder Zugriffskontrollen zu den jeweiligen Datenverarbeitungssystemen. Stichwort Personenkontrolle im Eingangsbereich. Auch erscheint ein Kennwortschutz der Dateien gegen das unbefugte lesen und/oder kopieren von Daten durchaus geeignet etwaigen Geheimdienstagenten 2. Ranges zumindest die Ausführung ihres Hobbys zu erschweren.
 
Dr. Gärtner: Genau. Wäre dieses Unternehmen früher zu mir gekommen, hätte all das nicht passieren müssen. Die Mandantin hatte im Internet gelesen, dass ein Verstoß gegen § 9 BDSG weder eine Ordnungswidrigkeit nach § 43 BDSG noch eine Straftat nach § 44 BDSG ist. Was sie dort aber nicht gelesen hat, ist, dass eine Aufsichtsbehörde sie zur Einhaltung von § 9 BDSG zwingen kann. Und wenn sie dann dagegen verstößt, ist das sehr wohl eine Ordnungswidrigkeit, nämlich nach § 43 Absatz 1 Ziffern 10 und 11 BDSG.
 
Yves Wiemann: Na ja; man kann niemandem vorwerfen, dass es Diebe gibt. Aber § 9 BDSG verpflichtet jedes Unternehmen dazu, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um vertraulichen Daten zu schützen. Und da gibt es ja diese Anlage zum Bundesdatenschutzgesetz, die eine Menge wie die schon von mir exemplarisch benannten Maßnahmen aufzählt. Glücklicherweise verpflichten die potentiell notwendig werdenden Maßnahmen nicht zu einem Kniefall vor dem leitenden Sachbearbeiters seiner Hausbank da der Gesetzgeber in § 9 Satz 2 BDSG eine volkstümlich gesprochen „Zweck-Mittel-Schranke“ einbaute und die Ausführung von Maßnahmen oder deren Beseitigung nur dann verlangt, wenn dies auch wirtschaftlich noch Sinn macht. Große Euphorie kann dennoch nicht aufkommen, da dies nach dem jeweiligen Einzelfall begutachtet wird. Und da war es wieder, das große Wort landes- und bundesrechtlicher Vorschriften: ERMESSEN!
 
Dr. Gärtner: Genau. Aber im Fall des Unternehmens, das mich beauftragt hatte, war es so, dass der Geschäftsführer vertrauliche Kundenakten mit den Sommerurlaub genommen und in seinem Hotelzimmer hatte liegen lassen; obwohl es dort einen Safe gab. Als die Akten dann entwendet wurden; wurden ihm zwei Dinge vorgeworfen: Erstens, dass er die Akten überhaupt mit den Urlaub genommen hat. Zweitens, dass er die Akten nicht wenigstens im Safe auf seinem Zimmer versteckt hat. Ein klarer Verstoß gegen § 9 BDSG. Ob das im Fall des HSV so war, weiß ich nicht. Aber so eine Situation ist immer unangenehm.
 
Yves Wiemann: Das kann ich mir schon gut vorstellen, zumal ein Rucksack im Verhältnis zu einem drehschlossgeschützten Aktenkoffer mit Sicherheit noch weniger Schutz vor unbefugtem Zugriff bietet als ein durchlöchertes Kondom aus den 80er Jahren. Vielleicht hätte er sich mal mit dem Datenschutzbeauftragten des Vereins unterhalten sollen? Ein solcher betrieblicher Datenschutzbeauftragter hätte ihm sicherlich aufgrund seines Knowhows und seiner Aufgabenstellung gemäß §§ 4f, 4g BDSG die notwendigen Sicherheitsmaßnahmen und Kontrollen erklärt, damit sich die Ottonormalbürger dieser Welt nicht wieder kopfschüttelnd die Frage stellen müssen warum nicht sie, sondern beispielsweise ein so sympathischer, zurückhaltender ja fast devoter Zeitgenosse wie der jüngste Sportkamerad vom HSV, Herr S. für die „Arbeitsleistung“ von unfassbaren 3-6 (Vollzeit)-Stunden pro Tag inklusive großer Mittagspause, Laktattest und Autogrammstunden einen siebenstelligen Jahresbetrag kassieren. Da sind die Fans des HSV schon seit einigen Spielzeiten mit dem jährlichen Kampf um die rote Laterne so stark eingebunden und jetzt auch noch das. Die Fanbeliebtheit beim HSV scheint nicht gerade eine Goldmedaille zu gewinnen. Ich würde sagen: Durch die Bestellung eines Datenschutzbeauftragten gewinnt man sicherlich keiner Meisterschaft, jedoch kann dies Millionen- und große Imageschäden vermeiden und damit die Beliebtheit von Fans und Angestellten steigern. Stephan, was hältst Du davon?
 
Dr. Gärtner: Das sehe ich genauso, es wäre toll wenn es Unternehmen geben würde, die unsere Vision von der Schaffung des beliebtesten Unternehmens Deutschlands teilen würden. Erfolg durch Vertrauen!
 
 
Das wichtigste im Überblick
  • Jedes Unternehmen ist gemäß § 9 Satz 1 BDSG verpflichtet, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um vertraulichen Daten zu schützen.
  • Eine Aufsichtsbehörde kann einen verbindlichen Bescheid erlassen, die jedes Unternehmen dazu zwingt, diese Maßnahmen auch zu ergreifen. Ein Verstoß gegen einen solchen Bescheid kann zu einem empfindlichen Bußgeld führen.
 
 
 Die Berliner Rechtsanwälte Yves Wiemann und Dr. Gärtner sind in unterschiedlichen Kanzleien tätig. Dennoch verbindet beide das Engagement im sog. Compliance-Bereich. Hier beraten sie bundesweit Unternehmen bei der Vermeidung von Straftaten, Ordnungswidrigkeiten und sonstigen Regelverstößen. Ein besonderer Focus liegt hierbei auf Tätigkeit als externer Datenschutzbeauftragter. In der Reihe „Auf ein Gespräch in der Verhandlungspause – Yves Wiemann und Dr. Stephan Gärtner“ geben die beiden Rechtsanwälte Kurzgespräche wieder, die nicht länger als eine kurze Verhandlungspause bei Gericht dauern. Auch wenn es zahlreiche, solcher Gespräche schon gegeben hat, sind die hier zusammengefassten Gespräche rein fiktiv und beruhen auf der rechtlichen Erfahrungen der beiden Rechtsanwälte. Die Beiträge sind lediglich allgemein gehalten und ersetzen nicht den anwaltlichen Rat im Einzelfall. Sie geben die Rechtslage zum Zeitpunkt der Veröffentlichung wieder.
 
Weitere Beiträge aus der Kategorie "Auf ein Gespräch in der Verhandlungspause"

Outsourcing in der Arztpraxis - ein unnötiges Strafarkeitsrisiko
 
Zu den Autoren:
Rechtsanwalt Yves Wiemann
Wilmersdorfer Strasse 94
10629 Berlin
Telefon: +49 (0) 30 886 27 500
Telefax: +49 (0) 30 318 08 479
Email: yw@berliner-rechtsanwalt.com
USt.Nr.: 13/590/62995
Die maßgeblichen berufsrechtlichen Vorschriften sind BRAO, RVG, FAO, die sämtlich unter
www.gesetze-im-internet.de nachzulesen sind.
Zuständige Aufsichtsbehörde (qua Zulassung):
Rechtsanwaltskammer Berlin
Littenstraße 9
10179 Berlin
Telefon 030/30 69 31-0
Telefax 030/30 69 31-99
E-Mail:info@rak-berlin.de
Yves Wiemann trägt die Berufsbezeichnung Rechtsanwalt, die ihm in Deutschland durch die Rechtsanwaltskammer Berlin verliehen wurde.
Berufshaftpflichtversicherung:
AFB GmbH
Kaistraße 13 | 40221 Düsseldorf / Deutschland
[Räumlicher Geltungsbereich: im gesamten EU-Gebiet und den Staaten des Abkommens über den Europäischen Wirtschaftsraum (EWR)]
 
 
Rechtsanwaltskanzlei Dr.Gärtner
Bessemerstraße 82,10.OG/Ostturm,
12103 Berlin

Tel.     +49 30 89614237
Fax.    +49 30 120530979
E-Mail gaertner@gaertner-stephan.de
Ust.-IdNr. DE 295953283
Die maßgeblichen berufsrechtlichen Vorschriften sind BRAO, RVG, FAO, die sämtlich unter
www.gesetze-im-internet.de nachzulesen sind.
Zuständige Aufsichtsbehörde (qua Zulassung):
Rechtsanwaltskammer Berlin
Littenstraße 9
10179 Berlin
Telefon 030/30 69 31-0
Telefax 030/30 69 31-99
E-Mail:info@rak-berlin.de
Dr. Stephan Gärtner trägt die Berufsbezeichnung Rechtsanwalt, die ihm in Deutschland durch die Rechtsanwaltskammer Berlin verliehen wurde.

Berufshaftpflichtversicherung:
ERGO Versicherungs AG, 40198 Düsseldorf,
[Räumlicher Geltungsbereich: Bundesrepublik Deutschland]
 

Zurück