Informationspflichten bei Datenlecks

Lesezeit
2 Minuten
Bis jetzt gelesen

Informationspflichten bei Datenlecks

09.05.2011 - 00:00
Veröffentlicht in:

Ob Datenleck, Datenpanne oder Datendiebstahl: Während die IT-Abteilung ins Rotieren kommt, um schnellstmöglich die undichte Stelle zu schließen, steht das Unternehmen bereits vor der unangenehmen Frage, ob es den Zwischenfall melden muss. Schließlich hat der Gesetzgeber gerade aufgrund der Vielzahl solcher Datenschutzskandale das "Gesetz zur Änderung datenschutzrechtlicher Vorschriften" erlassen. Das Bundesdatenschutzgesetz ist dabei eindeutig, was Informationspflichten angeht – und droht Unternehmen, die diesen nicht nachkommen, saftige Strafen an.

Im Rahmen des geänderten Bundesdatenschutzgesetzes (BDSG) sind nicht-öffentliche Stellen ebenso wie öffentliche Wettbewerbsunternehmen gemäß § 42a BDSG in bestimmten Fällen dazu verpflichtet, Betroffene und die jeweils zuständige Aufsichtsbehörde zu informieren, wenn etwa durch Datenpannen oder Datenlecks Dritte unrechtmäßig Kenntnis von personenbezogenen Daten erlangt haben. Da es also nicht nur um die Meldung an die zuständige Aufsichtsbehörde, sondern möglicherweise auch um die Informationspflicht gegenüber tausenden von Kunden geht, ist ein gehöriger Imageschaden zu befürchten.

Andererseits: Wird der gesetzlichen Verpflichtung nicht oder nicht rechtzeitig nachgekommen, so kann dies gemäß § 43 Abs. 2 Nr. 7, Abs. 3 BDSG ein Bußgeld von bis zu 300.000 Euro zur Folge haben. Es steht also einiges auf dem Spiel. Besonders wichtig ist daher die Frage, in welchen Fällen § 42a BDSG überhaupt zum Tragen kommt. Und, sollte dies der Fall sein, wann und in welcher Form Aufsichtsbehörden und Betroffene dann zu informieren sind.

Datenschutz sensibler, personenbezogener Daten durch § 42a BDSG
Die Informationspflicht aus § 42a BDSG wird nur durch solche Arten personenbezogener Daten ausgelöst, die vom Gesetzgeber als besonders sensibel angesehen werden (sogenannte Risikodaten). Diese sind in § 42a BDSG abschließend aufgezählt:
 

  • Die in § 3 Abs. 9 BDSG angegebenen besondere Arten personenbezogener Daten, also unter anderem Angaben über die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen und Gesundheit.
  • Personenbezogene Daten, die einem Berufsgeheimnis gemäß § 203 StGB unterliegen, wie beispielsweise bei Ärzten oder Rechtsanwälten.
  • Personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder einen diesbezüglichen Verdacht beziehen.
  • Personenbezogene Daten zu Bank- und Kreditkartenkonten, wie beispielsweise Kreditkarten- und Kontonummer oder auch Kontoauszüge.

Weiterhin ist erforderlich, dass oben genannte Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind.

  1. Unrechtmäßige Kenntnisnahme Dritter: Bei der Feststellung, dass Daten Dritten unrechtmäßig zur Kenntnis gelangt sind, bedarf es keiner absoluten Gewissheit. Vielmehr genügt die Wahrscheinlichkeit, dass es zu einer Kenntnisnahme Dritter gekommen ist, etwa durch einen Hackerangriff. Dies betrifft beispielsweise auch Fälle des Datenverlustes durch Abhandenkommen von Laptops oder sonstiger mobiler Datenträger. Bei bloßem Verdacht oder dem Gewahrsam Dritter an Datenträgern, ohne die Möglichkeit, hierauf zuzugreifen (beispielsweise aufgrund einer sicheren Verschlüsselung), ist eine Kenntnisnahme in diesem Sinne nicht anzunehmen. Jedoch ist die alleinige Kenntnisnahme durch Dritte allein nicht ausreichend, um eine Informationspflicht nach § 42a BDSG auszulösen.
  2. Schwerwiegende Beeinträchtigung: Vielmehr ist zusätzlich erforderlich, dass die Daten in einer Weise verwendet werden, die sich für die Betroffenen schädlich auswirkt. Hierbei genügt, dass schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Ob im Einzelfall eine schwerwiegende Beeinträchtigung anzunehmen ist, bestimmt sich unter anderem nach der Art der betroffenen Daten und den potenziellen Auswirkungen (mögliche Verwendungsszenarien) der unrechtmäßigen Kenntnisnahme Dritter (etwa finanzielle Schäden bei Kreditkartendaten). Hierbei handelt es sich um eine Prognose-Entscheidung, in die gemäß § 4a Abs. 1 S. 1 BDSG der betriebliche Datenschutzbeauftragte einzubeziehen ist.

Betroffene und Aufsichtsbehörde informieren
Liegen die oben genannten Voraussetzungen vor, sind die Betroffenen und die zuständige Aufsichtsbehörde nach § 42a Satz 1 BDSG unverzüglich hierüber in Kenntnis zu setzen. Nach der Legaldefinition des § 121 BGB ist darunter ein Handeln ohne schuldhaftes Zögern zu verstehen. Betrachten wir die Vorschrift des § 42a BDSG etwas genauer, wird deutlich, dass die Benachrichtigung der Aufsichtsbehörde (§ 42a Satz 4 BDSG) gegenüber der Benachrichtigung der Betroffenen (§ 42a Satz 2, 3, 5 BDSG) sowohl inhaltlich umfangreicher als auch zeitlich früher erfolgen muss:

 

  1. Benachrichtigung der Betroffenen: Hinsichtlich der Information der Betroffenen ist der Grundsatz der unverzüglichen Benachrichtigung dahingehend eingeschränkt, dass diese erst erfolgen muss, wenn angemessene Maßnahmen zur Sicherung der Daten ergriffen wurden und die Strafverfolgung nicht mehr gefährdet wird. Dies stellt klar, dass zunächst etwaige vorhandene Sicherheitslücken geschlossen werden können, um so einer erneuten Ausnutzung dieser vorzubeugen. Darüber hinaus sollen auch etwaige Ermittlungsarbeiten der Strafverfolgungsbehörden nicht beeinträchtigt werden. Sofern ein kriminelles Handeln im Raum steht, ist die Benachrichtigung der Betroffenen mit den jeweiligen Strafverfolgungsbehörden abzustimmen.
  2. Benachrichtigung der Aufsichtsbehörde: Die zuständige Aufsichtsbehörde (der Landesdatenschutzbeauftragte) ist hingegen nach Ermittlung und Prüfung der Voraussetzungen des § 42a BDSG ohne Einschränkung unverzüglich zu benachrichtigen.

 


 

 

                                                Seite 1 von 2                     Nächste Seite>>






dr/ln/Giovanni Brugugnone

 

 

 

Tags

Ähnliche Beiträge

Mit ITAM aus der Cloud zu mehr Endpunkt-Sicherheit

Wer IT-Sicherheit ernst nimmt, braucht ein IT-Asset-Management. Denn es gewährleistet vollumfängliche Informationen zu sämtlichen Endpoints – vom Homeoffice über die Cloud bis hin zu on-premises. Der Betrieb eigener Plattformen ist jedoch gerade für mittelständische Unternehmen oft zu aufwendig. Eine einfache Alternative versprechen Managed Service Provider, die ITAM-Werkzeuge für ihre Kunden hosten und managen. Ist SaaS hier der beste Ansatz? Und was ist für erfolgreiche Einführungen zu beachten?
Webanwendungen schützen mit AWS Web Application Firewall und Shield (2) Redaktion IT-A… Mo., 10.02.2025 - 07:00
Wer als Unternehmen eine Webseite oder -anwendung betreibt, muss sich meist früher als später mit Angriffen auseinandersetzen. Bei deren Abwehr spielen Schutzdienste auf Perimeter-Ebene eine entscheidende Rolle. AWS hat hierzu WAF und Shield im Portfolio. Im zweiten Teil erfahren Sie, wie Sie mit WAF Bots abwehren, Account Takeover verhindern und wie Best Practices aussehen könnten.

Webanwendungen schützen mit AWS Web Application Firewall und Shield (1)

Wer als Unternehmen eine Webseite oder -anwendung betreibt, muss sich meist früher als später mit Angriffen auseinandersetzen. Bei deren Abwehr spielen neben Schutzdienste auf Perimeter-Ebene eine entscheidende Rolle. AWS hat hierzu WAF und Shield im Portfolio. Im ersten Teil der Workshop-Serie beschreiben wir die Grundlagen der Services und wie Sie mit Managed Rules und Geofencing für Sicherheit sorgen.