15. Januar 2013 - Internetportale

Der Fall Unister: Datenschutzskandal mit Folgen für jeden DSB!

Sie sind heute frohgemut ins Büro gekommen? Schauen Sie lieber erst einmal, ob vielleicht schon ein Fax von der Datenschutz-Aufsichtsbehörde eingegangen ist! Da könnte nämlich drinstehen, dass übermorgen ab 9.30 Uhr eine „anlasslose Kontrolle“ in Ihrem Unternehmen stattfindet. Bei der könnten Sie dann aufgefordert werden, binnen einer Woche alle Geschäftsprozesse in Ihrem Unternehmen und sämtliche damit verbundenen Datenflüsse schriftlich darzustellen. Und wenn Sie das nicht können, wackelt ein paar Tage darauf Ihr Stuhl wegen „Unzuverlässigkeit“. Sie glauben, das seien Hirngespinste? Keineswegs!

der-fall-unister-2013-ein-datenschutzskandal-mit-folgen-fur-jeden-dsb-1.jpeg
Unister streitet derzeit vor Gericht mit der sächsischen Datenschutzaufsichtsbehörde um die Auskunft über seine Unternehmensprozesse (Bild: Thinkstock)

Die Unternehmensgruppe Unister betreibt zahlreiche Internetportale, wie etwa fluege.de. Über 13,2 Millionen Nutzer greifen jeden Monat auf die Portale der Unternehmensgruppe zu. Sie beschäftigt etwa 1.500 Mitarbeiter.

Mitte 2012 wollte sich der Sächsische Landesbeauftragte für den Datenschutz als zuständige Aufsichtsbehörde über die datenschutzrelevanten Aktivitäten von Unister informieren.

Der Kontakt zwischen der Aufsichtsbehörde und der Unternehmensgruppe entwickelte sich in einem Ablauf, der sich bis auf Weiteres in sieben Akte gliedern lässt, Fortsetzung sicher zu erwarten!

Erster Akt: Kontaktaufnahme durch die Aufsichtsbehörde

Am 9.7.2012 meldete sich die Dienststelle des Landesbeauftragten per Fax bei Unister und kündigte für den 11.7.2012 ab 9:30 Uhr eine Datenschutzkontrolle an. Für die Kontrolle gebe es keinen besonderen Anlass.

Zweiter Akt: Die Aufsichtsbehörde vor Ort

Am 11.7.2012 tauchten Mitarbeiter der Datenschutzbehörde vor Ort auf. Als Ziel der Kontrolle nannten sie eine Übersicht über die Geschäftsprozesse, bei denen personenbezogene Daten verarbeitet werden. Nach Durchführung der Kontrolle wolle man Klarheit darüber haben,

  • welche Prozesse ablaufen,
  • welche Daten bei diesen Prozessen bearbeitet werden,
  • wie die Prozesse ablaufen und
  • wohin die Prozesse führen.

Die Aufsichtsbehörde forderte in diesem Zusammenhang außerdem noch Datenflusspläne für alle Einzelprojekte von Unister.

Unister sagte zu, eine Auflistung zur Verfügung zu stellen, aus der hervorgehe,

  • wo sich einzelne Server befinden,
  • welche Datenbanken auf diesen Servern laufen,
  • welche Portale auf welche Datenbanken zugreifen und
  • welche Prozesse/Produkte der Portale ebenfalls auf den Datenbanken laufen.

Die Aufsichtsbehörde akzeptierte dies und gewährte dafür eine Frist bis zum 17.7.2012.

Dritter Akt: Hin und Her rund um die geforderten Auskünfte

Schon am 12.7.2012 teilte Unister der Aufsichtsbehörde mit, dass man die Frist nicht einhalten könne, und bat um eine Fristverlängerung bis 24.7.2012. Dem Schreiben beigefügt waren ein Organigramm der IT-Abteilung sowie ein „Executive Summary“ mit Informationen zu den Stammdaten der einzelnen Gesellschaften der Holding, eine Übersicht über „aktive Projekte“ und eine Auflistung der Standorte.

Mit Schreiben vom 16.7.2012 akzeptierte die Aufsichtsbehörde die Bitte um eine Fristverlängerung bis zum 24.7.2012. Gleichzeitig erläuterte die Aufsichtsbehörde nochmals im Detail, welche Informationen sie fordere.

Mit Schreiben vom 23.7.2012 teilte Unister mit, man sei immer noch dabei, alle vorhandenen Prozess im Unternehmen zu erfassen. Etwa 1.100 Prozesse und damit noch nicht einmal 50 % des Gesamtvolumens aller Prozesse seien inzwischen erfasst.

Am 13.8.2012 teilte Unister der Aufsichtsbehörde mit, inzwischen habe man etwas mehr als 2.000 Prozesse erfasst, im Übrigen brauche man einfach noch mehr Zeit. Dem Schreiben waren 220 Datenflussdiagramme beigefügt.

Vierter Akt: Erlass eines „Heranziehungsbescheid“ durch die Aufsichtsbehörde

Nun wurde es der Aufsichtsbehörde zu viel. Am 14.8.2012 erließ sie einen „Heranziehungsbescheid“, mit dem sie von Unister bis zum 17.9.2012 die Erteilung von Auskünften über folgende vier Komplexe forderte:

  • eine umfassende, abschließende und aussagefähige Darstellung aller Geschäftsprozesse, welche die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zum Gegenstand haben,
  • unter detaillierter Angabe jedes (einzelnen) Verarbeitungshandelns,
  • insbesondere eine Liste der Übermittlungen und Zusammenführungen personenbezogener Daten innerhalb der Holding sowie etwaige Übermittlungen an sonstige Dritte sowie
  • eine genaue Zuordnung des (jeweiligen) Verarbeitungshandelns wie folgt:
    • Ort der Verarbeitung durch die nach BDSG verantwortliche Stelle
    • Name und physischer Standort des (zugehörigen) Servers
    • Angabe der (jeweiligen) Datenbank (nebst des Verarbeitungshandelns sowie kurze Beschreibung des Produkts/Portals).

Für den Fall, dass diese Verpflichtung nicht erfüllt werde, drohte die Aufsichtsbehörde „für jede nicht erteilte Auskunft“ ein Zwangsgeld in Höhe von 5.000 Euro an.

Fünfter Akt: Klage gegen den Bescheid der Aufsichtsbehörde und Vergleichsverhandlungen

Am 14.9.2012 erhob Unister Klage vor dem Verwaltungsgericht gegen den Heranziehungsbescheid vom 14.8.2012. In den nächsten Tagen fanden Vergleichsverhandlungen zwischen dem Unternehmen und der Aufsichtsbehörde statt. Mit Schreiben vom 25.9.2012 unterbreitete die Aufsichtsbehörde folgenden Vergleichsvorschlag:

  • Unister erkennt an, dass der derzeitige Datenschutzbeauftragte nicht in der gesetzlich gebotenen Weise (siehe § 4f Abs. 2 Satz 1 BDSG) als zuverlässig anzusehen ist.
  • Unister bestellt umgehend eine Person der TÜV Informationstechnik GmbH oder der TÜV SÜD Managementservice GmbH zum externen Datenschutzbeauftragten.
  • Dieser neue Datenschutzbeauftragte erstellt bis zum 14.12.2012 ein Gutachten zur Rechtmäßigkeit des Verarbeitungshandelns bei Unister und den zu Unister gehörenden Unternehmen und erteilt dabei die von der Aufsichtsbehörde geforderten Auskünfte.

Diesen Vergleichsvorschlag akzeptiert Unister nicht, sondern unterbreitete seinerseits mit Schreiben vom 28.9.2012 folgenden Vergleichsvorschlag:

  • Unister bestellt innerhalb von zwei Monaten einen externen Datenschutzbeauftragten eigener Wahl.
  • Dieser erteilt bis zum 31.3.2013 die von der Aufsichtsbehörde im Heranziehungsbescheid geforderten Auskünfte.
  • Die Aufsichtsbehörde verzichtet darauf, wegen einer Unzuverlässigkeit des bisherigen Datenschutzbeauftragten Anzeige zu erstatten oder dies als Ordnungswidrigkeit zu verfolgen.

Sechster Akt: Anordnung des „Sofortvollzugs“ durch die Aufsichtsbehörde

Normalerweise hat die Klage gegen den Bescheid einer Behörde „aufschiebende Wirkung“. Das ist in § 80 Absatz 1 der Verwaltungsgerichtsordnung so festgelegt und bedeutet, dass der Adressat des Bescheids (hier also Unister) die Anordnungen in dem Bescheid nicht beachten muss, bis das zuständige Gericht über die Klage entschieden hat. Dadurch hätte Unister erheblich Zeit gewonnen, weil die Entscheidung über eine Klage oft genug ein Jahr und länger dauert.

Allerdings kennt die Verwaltungsgerichtsordnung auch die Möglichkeit, dass die zuständige Behörde (hier also der Sächsische Landesbeauftragte für den Datenschutz) die „sofortige Vollziehung“ eines Bescheids anordnet. Auch das ist gesetzlich geregelt, nämlich in § 80 Absatz 2 Nr. 4 der Verwaltungsgerichtsordnung.

Von dieser Möglichkeit machte die Aufsichtsbehörde Gebrauch und erließ am 1.10.2012 einen weiteren Bescheid, in dem sie die sofortige Vollziehung des „Heranziehungsbescheids“ vom 14.8.2012 anordnete.

Siebter Akt: Antrag von Unister gegen den Sofortvollzug beim Verwaltungsgericht Leipzig

Hätte sich Unister gegen diese Anordnung nicht gewehrt, hätte es die geforderten Auskünfte jetzt sofort erteilen müssen, also spätestens binnen weniger Tage, wenn nicht Stunden. Deshalb blieb der Unternehmensgruppe letztlich gar nichts anderes übrig, als beim zuständigen Gericht im Weg eines Eilverfahrens die Aussetzung des Sofortvollzugs zu beantragen. Genau dies geschah nun durch einen Antrag von Unister an das Verwaltungsgericht Leipzig vom 18.10.2012.

Als Voraussetzung für die Anordnung des Sofortvollzugs legt das Gesetz fest, dass „die sofortige Vollziehung im öffentlichen Interesse“ liegen muss. Dieses öffentliche Interesse muss die Behörde besonders begründen. Wenn sich der Betroffene (hier also Unister) gegen die „Anordnung des Sofortvollzugs“ wehrt, prüft das zuständige Gericht nach, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind.

Unister erleidet eine herbe Schlappe vor Gericht

Genau so geschah es hier. Allerdings erlebte Unister beim Verwaltungsgericht Leipzig eine herbe Schlappe. Der Antrag gegen den Sofortvollzug (rechtlich korrekt formuliert: der Antrag auf Wiederherstellung der aufschiebenden Wirkung durch das Gericht gemäß § 80 Absatz 5 Satz 1 Verwaltungsgerichtsordnung) hatte nämlich keinen Erfolg. Im Gegenteil! Das Gericht bestätigte, dass seines Erachtens die Voraussetzungen für die Anordnung des sofortigen Vollzugs durchaus vorliegen. Dazu meint das Gericht:

Die Aufsichtsbehörde habe die Anordnung des Sofortvollzugs ausreichend begründet, indem sie auf folgende Aspekte hingewiesen habe:

    • Eine effektive Datenschutzaufsicht erfordere eine unverzügliche Auskunftserteilung.
    • Dem laufe es zuwider, wenn sich Unister durch die Einlegung eines Rechtsbehelfs auf unbestimmte Zeit seiner Pflicht zur Auskunftserteilung entziehen könne, obwohl Unister bereits ausreichend Zeit für die Erteilung der Auskunft gewährt worden sei.

Eine Abwägung zwischen den Interessen der Aufsichtsbehörde und den Interessen der Unternehmensgruppe muss nach Auffassung des Gerichts berücksichtigen, dass eine Verpflichtung von Unister zur Erteilung der Auskünfte, welche die Aufsichtsbehörde in ihrem Bescheid vom 14.8.2012 fordert, voraussichtlich tatsächlich besteht.

Rechtsgrundlage der Auskunftsverpflichtung sei § 38 Abs. 3 BDSG. Demnach habe die Aufsichtsbehörde einen Anspruch darauf, dass ihr alle Auskünfte, die zur Erfüllung ihrer Aufgaben erforderlich sind, unverzüglich erteilt werden. Aus dem Bescheid vom 14.8.2012 sei genau zu ersehen, welche Auskünfte von Unister verlangt werden. Es sei nicht richtig, dass die Formulierungen des Bescheids zu unbestimmt seien. Auch seien die geforderten Auskünfte geeignet und erforderlich, damit die Aufsichtsbehörde ihre Aufgaben erfüllen könne.

Klare Worte des Gerichts zum zumutbaren Aufwand

Auch belaste das Auskunftsverlangen die Antragstellerin nicht unverhältnismäßig. Hierzu findet das Gericht klare Worte:

„Dafür spricht auch, dass die Antragstellerin bereits gemäß § 4g Abs. 2 Satz 1 BDSG in der Lage sein müsste, eine Übersicht über die in § 4e BDSG genannten Angaben zur Verfügung zu stellen und die Auskunftsverpflichtung ohne weiteren Aufwand zu weiten Teilen zu erfüllen. Wenn sie dies aufgrund von Versäumnissen in der Vergangenheit nicht kann, kann sie nun den daraus resultierenden Mehraufwand nicht für eine Unverhältnismäßigkeit des Auskunftsverlangens fruchtbar machen.

Hinzu kommt, dass an einer umfassenden Kontrolle der Einhaltung datenschutzrechtlicher Bestimmungen bei der Antragstellerin ein erhebliches öffentliches Interesse besteht. Denn bei Unternehmen wie der Antragstellerin, die eine weit verzweigte Konzernstruktur aufweisen, auf verschiedenen Geschäftsfeldern tätig werden und ein hohes Aufkommen von Kundendaten haben, finden naturgemäß viele datenschutzrechtlich relevante Prozesse statt, die auch einen erhöhten Aufwand notwendig machen.“

Im Klartext: Nach Auffassung des Gerichts hätte das Unternehmen den Aufwand, den es jetzt beklagt, schon viel früher leisten müssen! § 4g Abs. 2 BDSG, den das Gericht anspricht, schreibt vor, dass dem Datenschutzbeauftragten ein Verfahrensverzeichnis zur Verfügung gestellt werden muss. § 4e BDSG, den es ebenfalls erwähnt, regelt den Inhalt, den ein solches Verzeichnis haben muss.

Nun drohen erst einmal Zwangsgelder

Somit steht Unister nun vor der Situation, dass es das umfangreiche Auskunftsverlangen sofort erfüllen muss, wenn es nicht die Festsetzung von Zwangsgeldern riskieren will. Auch mit der Androhung von Zwangsgeldern durch die Aufsichtsbehörde hat das Gericht nämlich keinerlei Probleme.

Zwar lasse das sächsische Verwaltungsverfahrensgesetz lediglich ein Zwangsgeld bis zu höchstens 25.000 Euro zu. Wenn man die Zwangsgeldandrohungen der Aufsichtsbehörde jedoch richtig interpretiere, liefen sie darauf hinaus, dass es um vier Auskunftskomplexe gehe und dass in Bezug auf jeden einzelnen Auskunftskomplex ein Zwangsgeld von maximal 5.000 Euro angedroht werde. Somit liege insgesamt eine Zwangsgeldandrohung in Höhe von maximal 20.000 Euro vor. Dies sei somit rechtens.

Folgen für Ihren Alltag: Sichern Sie sich ab!

Die Entscheidung dürfte manchem Datenschutzbeauftragten den Angstschweiß auf die Stirn treiben. Jeder Datenschutzbeauftragte sollte sich nämlich fragen, ob sein Unternehmen in der Lage wäre, ein entsprechendes Auskunftsverlangen binnen weniger Tage zu erfüllen. Sollte das nicht der Fall sein, weil er auf diese Notwendigkeit nie hingewiesen hat, riskiert er im Ernstfall schlicht seinen Job wegen „fehlender Zuverlässigkeit“.

Das Gericht akzeptiert den „prozessorientierten Ansatz“

Bemerkenswert, wenn auch an und für sich selbstverständlich, ist es zudem, dass das Gericht den Ansatz der Aufsichtsbehörde akzeptierte, bei der Datenschutzkontrolle von den einzelnen Geschäftsprozessen auszugehen. Nur ein solcher „prozessorientierter Ansatz“ führt nämlich dazu, dass ein wirklicher Überblick zu gewinnen ist. Das Gericht lässt keinen Zweifel daran, dass das – vom BDSG ja vorgeschriebene! – Verfahrensverzeichnis und ergänzende Unterlagen auch kurzfristig einen vollständigen Überblick über alle Geschäftsprozesse ermöglichen müssen, mit denen personenbezogene Daten verarbeitet werden.

Die Aufsichtsbehörden haben keine Furcht vor „großen Fischen“

Im Übrigen zeigt der Fall, dass sich die Aufsichtsbehörden trotz ihres knappen Personalbestands längst auch an die „Großen“ heranwagen, die sich im Ernstfall spezialisierte Kanzleien und umfassende rechtliche Beratung leisten können. Denn Unister gehört zu den ganz Großen im Online-Geschäft in Deutschland. Auch das hilft Unternehmen freilich nichts, wenn sie sich im Unrecht befinden.

Ob das wirklich so ist, kann man heute im konkreten Fall noch nicht abschließend sagen. Denn natürlich gibt es nach dem Verwaltungsgericht Leipzig noch eine nächste Instanz, und Unister dürfte kaum zögern, sich dorthin zu wenden. Juristisch ausgedrückt: Der Beschluss des Verwaltungsgerichts Leipzig vom 3.12.2012 ist noch nicht rechtskräftig.

Die Justiz sagte öffentlich, um welches Unternehmen es geht

Dass es in diesem Verfahren um die Unternehmensgruppe Unister geht, konnte sich jeder Kenner der Online-Branche ohnehin mühelos erschließen. Abgesehen davon hat das zuständige Verwaltungsgericht Leipzig den Namen der Unternehmensgruppe jedoch schlicht in einer Presseerklärung öffentlich genannt, die Sie hier finden: http://www.justiz.sachsen.de/vgl/content/932.php.

Eine Darstellung aus der Sicht der zuständigen Aufsichtsbehörde ist abrufbar unter http://www.saechsdsb.de/oeffentlichkeitsarbeit/447-presseerklaerung-zur-aufsichtsbehoerdlichen-taetigkeit-gegenueber-unternehmen-der-unister-unternehmensgruppe.

Der Beschluss des Verwaltungsgerichts Leipzig vom 3.12.2012 – 5 L 1308/12 steht noch nicht im Netz zur Verfügung.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit über 25 Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln