Kundendatendiebstahl in der Tierarztpraxis

Publiziert in Datenschutz

Nicht nur ein Vermögensschaden für den Bestohlenen, sondern auch datenschutzrechtlich sehr brisant für den Bestohlenen UND den Dieb.

Als Praxisinhaber erlebt man immer wieder, dass gut ausgebildete tierärztliche Angestellte das Unternehmen verlassen. Sei es, weil sie sich räumlich verändern, sei es, weil es familiäre Veränderungen gibt und manchmal auch, um sich eine eigene unternehmerische Existenz aufzubauen.

In den meisten Fällen ist es für die Praxisinhaber bedauerlich, denn es endet oft auch eine langjährige vertrauensvolle Zusammenarbeit.

Ärgerlich wird es allerdings, wenn einem Kunden dann erzählen, dass sie von den ehemaligen Mitarbeitern (und jetzigen Wettbewerbern) aktiv telefonisch mit der Information kontaktiert wurden, dass man die Leistungen, die man früher als Angestellte für den Tierbesitzer erbracht hatte, nun in der eigenen Praxis erbringen möchte.

Einmal abgesehen davon, dass diese unbefugte Nutzung der Kundendaten schon auf Grund arbeitsvertraglicher Regelungen höchst brisant sein dürfte und es ein klarer Verstoß gegen die Berufsordnung ist, hat es, vor allem im Zeitalter der DSGVO, auch nicht unerhebliche datenschutzrechtliche Konsequenzen.

Der bestohlene Praxisinhaber: gleich doppelt gestraft

Der Diebstahl von Kundendaten ist im Sinne der DSGVO eine Verletzung des Schutzes von personenbezogenen Daten. Bei dieser Beurteilung ist die zivil- oder strafrechtliche Beurteilung des Falles erst einmal nicht relevant. Relevant ist hier in erster Linie die Sicht der betroffenen Personen.

Und da ist es unbestreitbar, dass deren Daten durch Dritte (=den Datendieben) unbefugt verarbeitet wurden. Schließlich haben die betroffenen Tierbesitzer nirgendwo zugestimmt, dass ausscheidende Mitarbeiter die Daten unbefugt mitnehmen und sie dann anrufen dürfen. Und bei dieser unbefugten Verarbeitung ist alleine schon per Definition von einem Risiko für die Rechte und Freiheiten der betroffenen Personen auszugehen, weil die aktive Kontaktaufnahme per Telefon ein nicht unerheblicher Eingriff in die Privatsphäre der Betroffenen ist.

Das ist die Sichtweise des Datenschutzes, die sich von der straf- bzw. zivilrechtlichen Sichtweise unterscheidet.

Und in Artikel 33 DSGVO ist die datenschutzrechtliche Konsequenz geregelt: Der Praxisinhaber als im Sinne von Artikel 4 DSGVO Verantwortlicher, dem die Kundendaten entwendet wurden, hat diese Datenpanne binnen 72 Stunden nach Kenntnisnahme der für ihn zuständigen Aufsichtsbehörde zu melden.

Und hier hat er, im Gegensatz zu strafrechtlichen oder privatrechtlichen Möglichkeiten keinerlei Ermessensspielraum! Wenn er eine Datenpanne registriert und diese nicht meldet, begeht er eine bußgeldbewehrte deliktische Handlung im Sinne der DSGVO! Und die kann nach Artikel 83 Absatz 4 Buchstabe a) mit dem sog. „kleinen Bußgeld“ geahndet werden. Ein Hinweis von einem betroffenen Tierbesitzer an die Aufsichtsbehörde würde genügen, dass der bestohlene Praxisinhaber nicht nur einen Vermögensschaden aus dem Diebstahl heraus erleiden würde, sondern auch noch mit einem Bußgeld zu rechnen hätte, weil er - vielleicht aus Unwissenheit - die Datenpanne nicht gemeldet hat.

Es gehört nicht viel Fantasie dazu, sich vorzustellen, wie ein bestohlener Praxisinhaber in solch einem Fall über die Datendiebe denkt.

Die Datendiebe: denn sie wissen nicht was sie tun…

Aber auch für diese hat die Handlung massive datenschutzrechtliche Konsequenzen:

Kaum die Gründung des eigenen Unternehmens hinter sich gebracht, dürfen die Datendiebe zeitnah mit einer Ermittlungsanfrage der für sie zuständigen Aufsichtsbehörde rechnen müssen. Die Nennung des Datendiebes wäre bei der Meldung der Datenpanne an die Aufsichtsbehörde natürlich selbstverständlich Bestandteil der Meldung und vermutlich auch durch Zeugenaussagen von Betroffenen unterlegt.

Die Erfahrung des ersten Jahres der DSGVO zeigt, dass die Aufsichtsbehörden im Rahmen ihrer Tätigkeit auf jeden Fall einen Schwerpunkt auf konstruktive Beratung der Unternehmen bei Datenschutzfragen legen - aber sicher nicht bei Unternehmen, die durch Datendiebstahl erworbene personenbezogene Daten unrechtmäßig verarbeiten...

Vielmehr ist davon auszugehen, dass die Aufsichtsbehörde in solch einem Fall die gesamte Klaviatur datenschutzrechtlicher Kontroll- und Sanktionsmaßnahmen gegen den Datendieb spielen würde. Nur den Wenigsten ist übrigens bekannt, dass dies bis zur Anordnung der unverzüglichen Einstellung der gesamten Datenverarbeitung im neu gegründeten Unternehmen gehen kann. So weit reicht die Verfügungsmacht der Behörde.

Die in Artikel 83 Absatz 1 DSGVO „Allgemeine Bedingungen für die Verhängung von Geldbußen“ geforderte „abschreckende“ Wirkung wird durch die Höhe des Bußgeldes vermutlich auf jeden Fall eintreten.

Fazit:

Unabhängig von der straf-, zivil- und auch berufsrechtlichen (Verstoß gegen die Berufsordnung) Beurteilung ist ein Diebstahl von Kundendaten auch in der Tierarztpraxis datenschutzrechtlich kein Kavaliersdelikt (mehr).

Die durch die DSGVO verschärfte Meldepflicht von Verletzungen des Schutzes personenbezogener Daten zwingt einen bestohlenen Praxisinhaber zur Einschaltung der Aufsichtsbehörden. Hat er die berechtigte Vermutung eines Datendiebstahls und unterlässt er die Meldung nach Artikel 33 DSGVO, setzt er sich, neben dem bereits erlittenen Vermögensschaden, auch noch der Gefahr von Sanktionsmaßnahmen durch die Aufsichtsbehörde aus.

Die DSGVO mag in mancher Hinsicht überzogen erscheinen. In solchen Fällen jedoch zeigt sie unzweifelhaft ihre Berechtigung. Wer sich heutzutage einbildet, er könne den Aufbau seiner unternehmerischen Existenz durch den Diebstahl von personenbezogenen Daten forcieren, hat die Zeichen der Zeit nicht verstanden.

Durch den Diebstahl schädigt er nicht nur seinen ehemaligen Arbeitgeber (und Berufskollegen). Datenschutzrechtlich betrachtet verletzt er durch die unrechtmäßige Verarbeitung der personenbezogenen Daten auch die Rechte und Freiheiten der Betroffen im Hinblick auf ihr Recht auf Selbstbestimmung der Verarbeitung der eigenen Daten. Diesen Schutz sicherzustellen ist Aufgabe der Datenschutzaufsichtsbehörde. Und deshalb tritt sie automatisch auf den Plan und ihre Nachsicht wird in diesen Fällen von Datenschutzverletzungen sehr, sehr begrenzt sein. Insgesamt ist das sicher ein sehr unprofessioneller Start für die eigene unternehmerische Existenz.