Wird den Bestimmungen des Bundesdatenschutzgesetzes (BDSG) u.a. im Hinblick auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zuwider gehandelt, enthält § 43 Abs. 1, 2 BDSG einen Katalog von Bußgeldvorschriften, der Geldbußen i.S.d. § 43 Abs. 3 S. 1 BDSG vorsieht. Die Geldbuße soll den wirtschaftlichen Vorteil übersteigen, den der Täter aus der Ordnungswidrigkeit gezogen hat, § 43 Abs. 3 S. 2 BDSG. Die in § 43 Abs. 3 S. 1 BDSG genannten Bußgeldbeträge können jedoch überschritten werden, § 43 Abs. 3 S. 3 BDSG. § 44 Abs. 1 BDSG sieht ferner strafrechtliche Konsequenzen für den Fall vor, dass eine der in § 43 Abs. 2 BDSG genannten Handlungen mit Bereicherungs- oder Schädigungsabsicht durchgeführt wird. Allerdings wird diese Tat nur auf Antrag verfolgt, § 44 Abs. 2 BDSG. Darüber hinaus sieht § 38 Abs. 5 BDSG vor, dass die Aufsichtsbehörde bei der Feststellung von Verstößen gegen das BDSG Maßnahmen einleiten kann, z.B. als ultima ratio bei schwerwiegenden Verstößen, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, die Untersagung der Erhebung, Verarbeitung oder Nutzung von Verfahren zur Verarbeitung von Daten (vgl. ferner die Informationspflicht von Unternehmen gem. § 42a BDSG).
Die Einleitung von Ordnungswidrigkeiten- oder Strafverfahren oder von Maßnahmen der Aufsichtsbehörde setzt jedoch deren Kenntnis von Verletzungen datenschutzrechtlicher Vorgaben voraus. Fehlt es hieran, bleiben die Verstöße sanktionslos. Von der Mehrzahl der Datenschutzverstöße haben die Behörden vermutlich keine Kenntnis; allenfalls schwerwiegende Verstöße, die auch Eingang in die Öffentlichkeit gefunden haben, werden zum Gegenstand behördlicher Verfahren.
Nach § 12 Abs. 1 Telemediengesetz (TMG) darf der Dienstanbieter, z.B. der Betreiber einer Website, personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. §§ 13 ff. TMG sehen daher Informationspflichten des Dienstanbieters vor. Sollten diese Vorgaben nicht eingehalten werden, enthält § 16 TMG eine Bußgeldvorschrift; eine Strafvorschrift, ebenso wie aufsichtsbehördliche Maßnahmen, sieht das TMG dagegen nicht vor.
Hinweis:
Fest steht damit, dass auf Basis der Normen des BDSG und des TMG Sanktionen gegen die betroffenen Unternehmen nur von Behörden geltend gemacht werden können, wobei Bußgeldverfahren den Regelfall darstellen werden. Untersagungsmaßnahmen sind die Ausnahme (vgl. Bergmann/von Lewinski, BDSG, 4. Aufl., § 38 Rn 77 ff.), so dass auf Basis des BDSG bzw. des TMG keine effektiven, kurzfristig wirksamen Maßnahmen eingeleitet werden können, um die Einhaltung datenschutzrechtlicher Vorgaben in der täglichen Praxis zu erzwingen. Dritte, die keine Behörde sind, können auf diese Normen ohnehin keinen unmittelbaren Rückgriff nehmen.