Britische Datenschutzaufsicht setzt technische und organisatorische Schutzpflichten durch

Der – auch über die Grenzen Großbritanniens hinaus bekannte – Daily Mirror hatte am 14. Oktober pikantes zu berichten. Der britische Parlamentsabgeordnete Oliver Letwin hatte Eingaben und Unterlagen seiner Wähler in öffentlichen Mülleimern, mitten im stark frequentierten St. James‘s Park entsorgt.

Die britische Datenschutzaufsicht, das Information Commissioner’s Office (kurz: ICO) nahm kurzer Hand Ermittlungen gegen den Abgeordneten auf. Am 15. November 2011 veröffentlichte die Behörde die deutliche Aufforderung an Letwin, die erforderlichen organisatorischen Maßnahmen bei der Entsorgung solcher Daten zu treffen. Damit macht das ICO deutlich, dass diese Pflicht durchgesetzt wird, sogar gegen Abgeordnete. Grund genug für die ilex Datenschutz GbR das Prinzip zu erklären, Parallelen zum deutschen Recht aufzuzeigen und deutschen Unternehmern, die sich „auf der Insel“ engagieren die rechtlichen Rahmenbedingungen aufzuzeigen.

1. Der Vorfall
London verbindet pulsierende Moderne mit spannender Historie. Touristen, Ur-Londoner oder auch Hinzugezogene genießen die Symbiose beider Extreme, gern auch bei einem Spaziergang. Gerade zu Beginn eines länger andauernden Aufenthalts sucht man die weltberühmten Orte auf, etwa den Buckingham Palace oder Downing Street. Ein Spaziergang zu diesen Wahrzeichen beginnt oder endet aber meist an einem ganz bestimmten Ort: Dem St. James‘s Park. Grund ist die günstige Verkehrsanbindung des „Londoner Unterground“. Es verwundert daher nicht, dass der St. James‘s Park zu einem hoch frequentierten Ort gehört.

Hier geschieht also bemerkenswertes, so auch im Oktober 2011. Der Daily Mirror fand heraus, dass der Parlamentsabgeordnete Oliver Letwin dort Eingaben und Unterlagen seiner Wähler in öffentlichen Mülleimern entsorgt haben soll. In einem Fall gingen aus den Unterlagen sogar Informationen zum Gesundheitszustand einer Person hervor.

Diesen Zeitungsbericht nahm die britische Datenschutzaufsicht ICO zum Anlass, Ermittlungen einzuleiten und den Abgeordneten darauf hinzuweisen, dass diese Art der Entsorgung nicht mit dem Datenschutzrecht, insbesondere dem 7. Datenschutzprinzip des DPA 1998 nicht vereinbar sei.

2. Das verletzte Datenschutzprinzip – ein Rechtsvergleich
Das Datenschutzrecht hat es in England nicht immer leicht. Noch in den 1980er Jahren wurde als „ordnungspolitische Lästigkeit“ bezeichnet. Erst eine – von den Briten bekämpfte EU-Richtlinie – änderte dies und führte unmittelbar zum Data Protection Act 1998 (kurz: DPA 1998). Dieses Gesetz zählt die wichtigsten Datenschutzprinzipien auf und verbietet zugleich den Verstoß gegen sie. Das siebte Datenschutzprinzip ist in Schedule 1 DPA 1998 festgehalten. Dort heißt es:

Appropriate technical and organisational measures shall be taken against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data.

Neben diesem allgemeinen Obersatz definiert das Gesetz auch konkrete Anforderungen.

Nach Auffassung des ICO hat der Politiker gegen die Pflicht, notwendige technische und organisatorische Maßnahmen beim Datenumgang anzuwenden verstoßen. Diese rechtliche Würdigung ist zutreffend. Denn auch das Vernichten, also das Löschen von Daten muss diesem Datenschutzprinzip genügen. Das einfache Entsorgen von Unterlagen im öffentlichen Mülleimer eines stark frequentierten Parks genügt diesem Datenschutzprinzip nicht. Denn hierdurch besteht die Gefahr das unbefugte Dritte Informationen zur Kenntnis nehmen, die nicht für sie bestimmt sind.

Beurteilt man den vorliegenden Fall nach deutschem Recht ergibt sich nichts anderes. Denn auch hier gilt das oben beschriebene Datenschutzprinzip, das etwa in § 9 BDSG festgehalten ist.

Eine Lösung, die sowohl in Deutschland als auch Großbritannien rechtskonform wäre, bestünde darin, die Unterlagen professionell zu schreddern oder durch ein Entsorgungsunternehmen beseitigen zu lassen.

3. Schlussfolgerungen
Das Fazit des Beitrages soll sicherlich nicht lauten: Politiker müssen verantwortungsvoll mit personenbezogenen Daten umgehen. Denn das ist eine Selbstverständlichkeit.

Das Ergebnis lautet, dass das Datenschutzrecht in jeder Phase der Erhebung, Verarbeitung und/oder Nutzung beachtet werden muss. Das gilt selbstverständlich auch bei der Löschung.

Die britische Aufsichtsbehörde hat hierbei klargestellt, dass es bei der Durchsetzung dieses Rechtssatzes auch nicht vor großen Namen zurückschreckt. Deutsche Unternehmer, die sich in Großbritannien engagieren wollen, sollten daher genau analysieren, wie sie vor Ort mit personenbezogenen Daten umgehen.

Dr. iur. Stephan Gärtner

Compliance Manager

ilex Datenschutz GbR berät mittelständische Unternehmen bundesweit in Fragen des Datenschutzrechts und dabei auch Unternehmen, die sich international engagieren, etwa auch in Großbritannien.

________________
Wir unterstützen Sie bei Ihrer Recherche.

ilex Datenschutz – Potsdam

Alleestraße 13
14469 Potsdam
Telefon: (0331) 97 93 75 0
Telefax: (0331) 97 93 75 20
Internet: www.ilex-datenschutz.de

Die ilex Datenschutz GbR ist ein hochspezialisiertes Beratungshaus mit Büros in Potsdam und berät in- und ausländische, mittelständische Unternehmen der privaten und öffentlichen Hand, kommunale Gebietskörperschaften und Behörden auf den Gebieten des Datenschutzes und des Datenschutzrechts!