Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
wiki:user:spielwiese [2019/01/31 19:31] – Martin Neldner | wiki:user:spielwiese [2022/02/25 09:01] (aktuell) – Admin |
---|
====== Ordnungswidrigkeiten ====== | ====== Handeln bei IT-Sicherheitsvorfällen ====== |
| |
**Ordnungswidrigkeiten** sind Verstöße gegen das Datenschutzrecht, die bußgeldbewehrt sind. | * heruntergefahrene Systeme nicht hochfahren aber noch laufende Systeme nicht herunterfahren sondern nur vom (Daten-)Netz trennen (NICHT: Stromnetz). [[https://www.datenschutzbeauftragter-info.de/spurensicherung-im-arbeitsspeicher-stop-pulling-the-plug/]] |
====== DSGVO ====== | |
| |
Zentrale Norm ist [[https://dejure.org/gesetze/DSGVO/83.html|Art. 83]] [[:dsgvo|DSGVO]]. | [[:Schadenersatz]] |
| |
====== Thüringer Landesrecht ====== | |
| |
Allerdings stellt sieht [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=DSG+TH+%C2%A7+61&psml=bsthueprod.psml&max=true|§ 61]] [[:thuerdsg|ThürDSG]] Sonderregeln vor. | |
| |
Insbesondere werden nach § 61 Abs. 4 ThürDSG keine Geldbußen gegen öffentliche Stellen verhängt. Dementsprechend ist auch bei den Zuständigkeiten des Landesdatenschutzbeauftragten gem. [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=DSG+TH+%C2%A7+7&psml=bsthueprod.psml&max=true|§ 7 Abs. 2 S. 2]] ThürDSG geregelt, dass er keine Geldbußen gegen öffentliche Stellen verhängen darf. | |
| |
===== Beschäftigte öffentlicher Stellen ===== | |
| |
Auch in der Kommentarliteratur(([[https://beck-online.beck.de/?vpath=bibdata%2fkomm%2fBeckOKDatenS_25%2fEWG_DSGVO%2fcont%2fBECKOKDATENS%2eEWG_DSGVO%2eA83%2eglB%2eglIV%2egl3%2ehtm|BeckOK DatenschutzR/Holländer, 25. Ed. 1.8.2018, DS-GVO Art. 83 Rn. 79-81.1]] [[https://beck-online.beck.de/?vpath=bibdata%2Fkomm%2FPaalPaulyKoDSGVO_2%2FEWG_DSGVO%2Fcont%2FPaalPaulyKoDSGVO%2EEWG_DSGVO%2Ea83%2EglF%2Ehtm|Paal/Pauly/Frenzel, 2. Aufl. 2018, DS-GVO Art. 83 Rn. 27-28]])) wird nicht darauf eingegangen, inwieweit die Nichtverhängung von Bußgeldern auch für Mitarbeiter öffentlicher Stellen greift. | |
| |
Dem Wortlaut nach wird bei öffentlichen Stellen nur keine Geldbuße verhängt. Das würde dafür sprechen, dass die Ordnungswidrigkeit als solche durchaus von natürlichen Personen als Beschäftigten der öffentlichen Stelle begangen werden werden. Es erfolgt nur eben keine "Zurechnung" zu der öffentlichen Stelle derart, dass auch diese mit einer Geldbuße belegt wird. Auch der Vergleich mit [[https://www.gesetze-im-internet.de/owig_1968/__30.html|§ 30]] [[:owig|OWiG]] spricht dafür, beide Verhältnisse separat zu betrachten. Bei einer unklaren dogmatischen Einordnung(([[https://beck-online.beck.de/?vpath=bibdata%2fkomm%2fBeckOKOWiR_20%2fOWIG%2fcont%2fBECKOKOWIR%2eOWIG%2eP30%2eglA%2eglIV%2egl1%2ehtm|BeckOK OWiG/Meyberg, 20. Ed. 1.10.2018, OWiG § 30 Rn. 14-17.2]])) der Verbandsbuße ergibt sich im Ergebnis jedenfalls aus § 30 Abs. 1 und 4 OWiG, dass es sich um zwei Rechtsverhältnisse handelt, wobei es möglich ist, dass nur die Verbandsbuße festgesetz wird und das Verfahren gegen den Täter eingestellt wird (§ 30 Abs. 4 OWiG) oder umgekehrt nur eine Geldbuße gegen den Täter festgesetzt wird aber nicht gegen die (quasi-)juristische Person (§ 30 Abs. 1 OWiG, da das Opportunitätsprinzip ("kann") gilt.((Vgl. [[https://beck-online.beck.de/?vpath=bibdata%2fkomm%2fBeckOKOWiR_20%2fOWIG%2fcont%2fBECKOKOWIR%2eOWIG%2eP30%2eglD%2eglI%2ehtm|BeckOK OWiG/Meyberg, 20. Ed. 1.10.2018, OWiG § 30 Rn. 94, 95]])) | |
| |
Auch wenn es in gewisser Weise wertungswidersprüchlich erscheint, sollte unter Vorsichtsaspekten bis zu einer Klärung davon ausgegangen werden, dass Beschäftigte öffentlicher Stellen mit Geldbußen belegt werden können. | |
| |
Selbst in diesem Falle wird es aber keinesfalls zu den enormen Bußgeldern kommen, die für private Stellen festgesetzt werden können. Vielmehr deckelt § 61 Abs. 4 ThürDSG das Bußgeld auf maximal 50.000 EUR. Fahrlässige (Erst-)Verstöße werden erfahrungsgemäß nur mit winzigen Bruchteilen solcher Höchstbeträge belegt. | |
| |
In jedem Falle wird von einer Ordnungswidrigkeit oder gar Straftat des Beschäftigten auszugehen sein, wenn eine datenschutzwidrige Handlung zu Zwecken erfolgt, die keinen dienstlichen Bezug haben. Beispielsweise könnte das der Fall sein, wenn dienstliche Datenbanken genutzt werden, um in einem privaten Nachbarschaftsstreit die Gegenseite zu schädigen. | |
| |
====== Einzelfälle (auch aus der Privatwirtschaft) ====== | |
| |
* 22.11.2018 [[:lfdi_baden-wuerttemberg|LfDI Baden-Württemberg]]: 20.000 EUR, Social-Media-Anbieter hatte Passwörter unverschlüsselt gespeichert, was anlässlich eines erfolgreichen Hackerangriffs aufgefallen ist.((Quelle: [[https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/|LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO]] [[https://web.archive.org/web/20181122094455/https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/|PM bei Archive.org]])) | |
| |
====== Weblinks ====== | |
| |
[[https://beck-online.beck.de/?vpath=bibdata%2Fkomm%2FPaalPaulyKoDSGVO_2%2FEWG_DSGVO%2Fcont%2FPaalPaulyKoDSGVO%2EEWG_DSGVO%2Ea83%2Ehtm|Paal/Pauly/Frenzel, 2. Aufl. 2018, DS-GVO Art. 83]] | |
| |
| [[:tu:Prüfung in elektronischer Form]] |
| |
| |
| {{tag>Entwurf}} |