Sensible Daten auf Abwegen Behörden unter der Lupe

Warum öffentliche Stellen nicht immer unantastbar sind und was Einrichtungen daraus lernen können

Wer glaubt, Datenschutzverstöße seien nur ein Thema für große Konzerne oder ferne Behörden, liegt falsch. Gerade für Einrichtungen und Dienste der Kinder- und Jugendhilfe oder der Eingliederungshilfe gibt es aus aktuellen internationalen Fällen einiges mitzunehmen – insbesondere, wenn es um den Umgang mit besonders schützenswerten Informationen geht. Denn auch wenn in Deutschland öffentliche Stellen nicht mit Bußgeldern belegt werden können, schützt das nicht vor anderen Konsequenzen. Der Blick über den Tellerrand zeigt, was schieflaufen kann – und was das in der Praxis für Risiken birgt, etwa wenn sensible Daten von Schutzbedürftigen oder Beschäftigten offenliegen. Zwei aktuelle Fälle aus Polen und Nordirland machen das eindrücklich deutlich.

In Polen wurde eine Staatsanwaltschaft zur Kasse gebeten, weil sie auf einer Pressekonferenz den Namen sowie die Verletzungen eines Opfers öffentlich gemacht hatte. Das Ganze ohne irgendeine rechtliche Grundlage. Die Folge: Ein Bußgeld von rund 20.000 Euro durch die polnische Datenschutzaufsicht. Nicht die Welt, aber eben doch ein deutliches Signal. Es zeigt sich mal wieder: Sensible Daten sind nicht nur sensibel, weil sie so genannt werden – sie sind es wirklich. Gerade im Zusammenhang mit persönlichen Schicksalen muss besonders sorgfältig gearbeitet werden. Der Schutz der Betroffenen darf dabei nicht unter die Räder kommen, auch nicht im Eifer der Öffentlichkeitsarbeit. Der Vorfall ist ein Paradebeispiel dafür, was passiert, wenn der Datenschutz aus dem Blick gerät.

Ein deutlich gravierenderer Fall spielte sich in Nordirland ab. Dort wurden durch einen simplen Upload-Fehler die Daten von knapp 10.000 Polizeibeschäftigten veröffentlicht. Namen, Dienstorte, Dienstgrade – alles für jedermann einsehbar. Die britische Datenschutzbehörde hat dafür ein sattes Bußgeld von rund 890.000 Euro verhängt. Nicht nur ein organisatorisches Desaster, sondern auch ein massives Sicherheitsrisiko für die Betroffenen. In Nordirland, wo paramilitärische Gruppen nach wie vor eine Rolle spielen, kann so eine Panne lebensgefährlich sein. Die Brisanz liegt hier nicht nur in der Menge der Daten, sondern vor allem in der konkreten Gefährdungslage. Man kann sich kaum einen Kontext vorstellen, in dem technische und organisatorische Maßnahmen wichtiger wären – und doch wurde hier offenbar auf ganzer Linie versagt.

Was diese beiden Fälle gemeinsam haben: Es handelt sich um öffentliche Stellen. In Deutschland stellt sich da sofort die Frage: Geht das überhaupt, Bußgelder gegen Behörden? Die Antwort ist eindeutig: nein, jedenfalls nicht nach deutschem Recht. Hier greift der § 43 BDSG, der Bußgelder gegen öffentliche Stellen ausschließt. Der Grund ist die sogenannte Staatsimmunität. Anders ausgedrückt: Der Staat bestraft sich nicht selbst. Die DSGVO erlaubt es den Mitgliedstaaten zwar, davon abzuweichen – aber Deutschland hat das bewusst nicht getan. Andere Länder wie Polen oder Großbritannien sehen das anders und zeigen damit auch eine ganz andere Haltung beim Thema Verantwortlichkeit.

Diese Unterschiede in der internationalen Bußgeldpraxis sind nicht nur juristisch spannend, sondern haben auch ganz praktische Auswirkungen. Während in Deutschland zwar viele Beschwerden eingehen, halten sich die tatsächlichen Bußgelder oft in Grenzen. Auch die Veröffentlichung von Entscheidungen erfolgt eher zögerlich. Spanien geht da einen anderen Weg: Die Datenschutzbehörde dort ist sehr aktiv, verteilt häufig kleinere Bußgelder, schreckt aber nicht vor konsequenter Durchsetzung zurück. Die Folge sind klare Signale – auch für kleinere Verstöße. In Irland wiederum dauert alles gefühlt ewig. Ein Verfahren gegen LinkedIn zieht sich seit 2018, entschieden wurde erst 2024. Das ist nicht nur frustrierend für die Beschwerdeführenden, sondern auch ein echtes Problem für die Wirksamkeit des Datenschutzrechts.

Apropos LinkedIn: Genau diese Plattform sorgt gerade in der Datenschutz-Community für Stirnrunzeln. Denn obwohl sie ganz ähnlich funktioniert wie andere werbefinanzierte Netzwerke, bleibt die Kritik daran auffällig leise. Viele Datenschützende nutzen LinkedIn selbst intensiv – was vermutlich ein Grund für diese Zurückhaltung ist. Dabei gibt es aus datenschutzrechtlicher Sicht reichlich Anlass zur Diskussion. Werbemaßnahmen ohne Einwilligung, unklare Informationen über die Datenverarbeitung, mangelnde Alternativen – all das ist nicht gerade vertrauenserweckend. Dass ausgerechnet hier weniger genau hingeschaut wird, wirft Fragen auf. Gerade in der Beratungspraxis stellt sich dann oft die Frage: Wie konsequent wollen wir eigentlich sein?

Für Einrichtungen und Dienste der Kinder- und Jugendhilfe sowie der Eingliederungshilfe ergeben sich aus all dem mehrere praktische Hinweise. Erstens: Sensible Daten verdienen immer besondere Aufmerksamkeit – gerade, wenn es um Schutzbedürftige geht. Zweitens: Auch wenn öffentliche Stellen in Deutschland keine Bußgelder zahlen müssen, heißt das nicht, dass Datenschutz weniger ernst genommen werden darf. Verstöße können dennoch massive Konsequenzen haben, etwa für das Vertrauen der Betroffenen oder die eigene Reputation. Drittens: Die technischen und organisatorischen Maßnahmen müssen regelmäßig überprüft und angepasst werden. Die Gefahr von Datenlecks ist real – und je nach Kontext auch wirklich gefährlich.