BL0G

Home / Blog

225.359 € - Bußgeld für englisches Justizministerium

von Stephan Gärtner

... zur europäischen Bußgeldpraxis bei Verstößen gegen das Datenschutzrecht

 

Berlin, 9. März 2015. Wie ein aktueller Fall aus Großbritannien zeigt, kann selbst ein Justizministerium gegen das Datenschutzrecht verstoßen und anschließend mit einer empfindlichen Geldbuße belangt werden. Dies kann jedoch nicht nur Ministerien, sondern auch privaten Wirtschaftsunternehmen geschehen. Der nachfolgende Beitrag erzählt die Geschichte dieses Vorfalls sowie die Rechtslage in Großbritannien und Deutschland.

Gliederung
1. Der Sachverhalt
2. Rechtslage
a) Wesentliche Fakten zur Rechtslage in der Übersicht
b) Rechtslage in Großbritannien
c) Rechtslage in Deutschland
3. Glossar
4. Fazit

1. Der Sachverhalt

Möglicherweise gibt es in der britische Justizverwaltung ein Datenschutzproblem. Bereits im Oktober 2011 ging eine unverschlüsselte Festplatte des HMP  High Down Gefängnis in Surrey verloren, auf der sich Daten von 16.000 Häftlingen befanden. Die Justizverwaltung reagierte hierauf und versorgte die 75 Gefängnisse in England und Wales mit einen Festplatten, die eine Verschlüsselung der Daten ermöglichten.

Doch trotz dieser Möglichkeit, hat es den Anschein, dass die Gefängnisverwaltungen die Daten dennoch nicht verschlüsselt haben. Denn im Mai 2013 verlor auch das HMP Erlestoke Gefängnis in Wiltshire eine Festplatte, die vertrauliche Informationen von 2935 Häftlingen beinhaltete. Die brisanten Daten enthielten sogar Details über Verbindungen zur organisierten Kriminalität, Drogenprobleme und Informationen über Opfer und Besucher.

Die Ermittlungen der englischen Datenschutzbehörde, Information Commissioner’s Office (ICO), haben nun ergeben, dass auch die Daten auf dieser Festplatte, trotz der technischer Möglichkeit hierzu, nicht verschlüsselt waren.

Da es sich um einen wiederholten Rechtsverstoß handelte, verhängte der ICO eine Geldbuße von £180,000 (ca. 225.359 €) gegen das Justizministerium. Mittlerweile hat das Ministerium eingelenkt und alles unternommen, um die Verschlüsselung auch tatsächlich zu gewährleisten.

2. Rechtslage

a) Wesentliche Fakten zur Rechtslage in der Übersicht

(1) Sowohl in Großbritannien als auch in Deutschland sind alle verantwortliche Stellen, egal, ob sie aus dem öffentlichen oder dem nichtöffentlichen Bereich stammen, dazu verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, die zum Schutz der Integrität personenbezogener Daten erforderlich sind.

(2) Zu diesen Schutzmaßnahmen zählt in aller Regel auch die Verschlüsselung von Daten auf externen Datenträgern.

(3) Ein Verstoß gegen diese Pflicht kann empfindliche Bußgelder nach sich ziehen.

b) Rechtslage in Großbritannien

In England wird der Umgang mit personenbezogenen Daten (=processing) durch das Data Protection Act 1998 (kurz DPA 1998) geregelt. Diesem Gesetz ist u.a. die Verpflichtung zur Verschlüsselung der Häftlingsdaten zu entnehmen. Dies folgt aus SCHEDULE 1, Part I, 7. DPA 1998 und SCHEDULE 1, Part II, 9. DPA 1998. Um die Rechtslage zu verstehen, sollen die Normen wiedergegeben werden.

Nach SCHEDULE 1, Part I, 7. DPA 1998 gilt:

"Appropriate technical and organisational measures shall be taken against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data."

Deutsche Übesetzung SCHEDULE 1, Part I, 7. DPA 1998 (nicht amtlich):

"Es müssen angemessene technische und organisatorische Maßnahmen gegen die unerlaubte oder ungesetzliche Verarbeitung personenbezogener Daten und gegen den zufälligen Verlust oder die zufällige Zerstörung oder Beschädigung personenbezogener Daten ergriffen werden." 

Nach SCHEDULE 1, Part II, 9. DPA 1998, 7. wonach gilt:

"Having regard to the state of technological development and the cost of implementing any measures, the measures must ensure a level of security appropriate to the harm that might result from such unauthorised or unlawful processing or accidental loss, destruction or damage as are mentioned in the seventh principle, and the nature of the data to be protected."

Deutsche Übersetzung SCHEDULE 1, Part II, 9. DPA 1998 (nicht amtlich):

"Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau i.S.d. 7. Datenschutzprinzips  gewährleisten, das vor den Konsequenzen schützt, die aus einer unerlaubten oder ungesetzlichen Datenverarbeitung oder dem zufälligen Verlust, der zufälligen Zerstörung resultieren  der Art der zu schützenden Daten angemessen ist."

Gegen diese Prinzipien hat die englische und walisische Strafjustiz verstoßen. Denn es war technisch sehr wohl möglich, die Daten auf den Festplatten zu verschlüsseln. Ein unangemessener Aufwand war auch nicht zu befürchten, zumal die Daten sehr sensibel waren.

Im Hinblick darauf war ein Bußgeld angezeigt. Da die Verwaltung hier als "Wiederholungstäterin" auffiel, ist das Bußgeld auch seiner Höhe nach angemessen.

c) Rechtslage in Deutschland

In Deutschland wird der Umgang mit personenbezogenen Daten im Bundesdatenschutzgesetz und den Landesdatenschutzgesetzen geregelt. Da die Verwaltung von Gefängnissen Landessache ist, unterfällt der dort geltende Datenschutz den Landesdatenschutzgesetzen und den Landesvorschriften um Strafvollzug. Doch in allen Landesgesetzen gibt es eine Regelung, die dem § 9 BDSG entspricht. Beispiele sind § 5 des Berliner Datenschutzgesetzes oder § 10 des Nordrhein-Westfälischen Datenschutzgesetzes. All diese Vorschriften verpflichten die verantwortlichen Stellen, wozu auch Gefängnisse gehören, dazu, angemessene technische und organisatorische Maßnahmen zu ergreifen, die zum Schutz der personenbezogenen Daten erforderlich sind. Dazu zählt in aller Regel auch die Verschlüsselung.

3. Glossar

Data Protection Act 1998

Datenschutzgesetz in Großbritannien, kurz DPA 1998 

Information Commissioner’s Office (ICO)

Aufsichtsbehörde für den Datenschutz, u.a. in England

processing

in relation to information or data, means obtaining, recording or holding the information or data or carrying out any operation or set of operations on the information or data, including organisation, adaptation or alteration of the information or data; retrieval, consultation or use of the information or data; disclosure of the information or data by transmission, dissemination or otherwise making available; or alignment, combination, blocking, erasure or destruction of the information or data (vgl. Section 1 (1)).

Verschlüsselung

Verschlüsselung nennt man den Vorgang, bei dem ein klar lesbarer Text (Klartext) (oder auch Informationen anderer Art wie Ton- oder Bildaufzeichnungen) mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine „unleserliche“, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird (vgl. Wikipedia "Verschlüsselung")

4. Fazit

Egal, ob Gefängnisverwaltung oder Wirtschaftsunternehmen. Alle verantwortlichen Stellen in Europa sind dazu verpflichtet, angemessene technische und organisatorische Schutzmaßnahmen zu ergreifen, um zu verhindern, dass die Integrität von Daten verletzt wird. Hierzu zählt in aller Regel auch die Verschlüsselung, bspw. externer Datenträger. Oftmals ist die Verschlüsselung einfach und kostengünstig durchzuführen. Doch wenn selbst eine öffentliche Stelle nicht diese Vorschrift, für die sie "gewissermaßen" mitverantwortlich ist, befolgt, lässt dies Rückschlüsse zu, wie private Wirtschaftsunternehmen hierzu stehen.

Rechtsanwaltskanzlei Dr. Stephan Gärtner
Bessemerstraße 82,
10. OG, Ostturm,
12103 Berlin,
Tel. +49 30 89614237
E-Mail: gaertner@gaertner-stephan.de
Zugelassen bei der RAK Berlin (www.rak-berlin.de), die insoweit als Aufsichtsbehörde agiert.
USt-IdNr. DE295953283
Der Titel Rechtsanwalt wurde in der Bundesrepublik Deutschland verliehen.
Die maßgeblichen berufsrechtlichen Regeln entnehmen Sie der BRAO, der FAO und dem RVG, die sämtlich unter www.gesetze-im-internet.de nachzulesen sind.
Die Berufshaftpflichtversicherung besteht bei der ERGO Versicherung AG, 40198 Düsseldorf und gilt deutschlandweit.

 

Zurück