Seite 2 - Informationspflichten bei Datenlecks

Lesezeit
2 Minuten
Bis jetzt gelesen

Seite 2 - Informationspflichten bei Datenlecks

09.05.2011 - 00:00
Veröffentlicht in:

Inhalt und Form der Information des Betroffenen
Den Betroffenen ist transparent offenzulegen, was genau sich ereignete und welche Gegenmaßnahmen zur Minderung möglicher weiterer nachteiliger Folgen empfohlen werden. Die zuständige Aufsichtsbehörde ist gemäß § 42a Satz 4 BDSG zusätzlich darüber zu informieren, welche möglichen nachteiligen Folgen durch die unrechtmäßige Kenntniserlangung drohen und welche Maßnahmen bereits hiergegen ergriffen wurden (etwa Sperren von Kredit- oder EC-Karten). Der Aufsichtsbehörde ist auch mitzuteilen, ob die Betroffenen informiert und welche konkreten Maßnahmen ihnen empfohlen wurden.

Grundsätzlich ist jeder Betroffene einzeln zu benachrichtigen, eine besondere Form sieht das Gesetz hier jedoch nicht vor. Es empfiehlt sich aus Gründen der Nachweisbarkeit die Information mittels verschlüsselter E-Mail oder auf postalischem Wege etwa durch ein Einschreiben mit Rückschein. Soweit die Einzelbenachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der Fälle, kann gemäß § 42a Satz 5 BDSG die Individualbenachrichtigung durch die Benachrichtigung der Öffentlichkeit ersetzt werden. Dies kann durch Anzeigen erfolgen, die mindestens eine halbe Seite umfassen und in mindestens zwei bundesweit erscheinenden Tageszeitungen veröffentlicht werden, oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. Auch die Aufsichtsbehörden sollten aus Gründen der Nachweisbarkeit zusätzlich zur im Einzelfall erforderlichen kurzfristigen telefonischen Information schriftlich informiert werden.

Keine Informationspflicht für Auftragsdatenverarbeiter
Gehen Daten des Auftraggebers als verantwortliche Stelle beim Auftragnehmer – also dem Auftragsdatenverarbeiter gemäß § 11 BDSG – verloren, stellt sich die Frage, ob auch diesen die Informationspflichten des § 42a BDSG treffen. Eine solche Pflicht gibt es allerdings nicht, denn § 11 Abs. 4 BDSG regelt abschließend die Pflichten des BDSG, die auf Auftragsdatenverarbeiter anwendbar sind. Insoweit hat jeder Auftraggeber durch entsprechende Ausgestaltung der Verträge zur Auftragsdatenverarbeitung dafür Sorge zu tragen, dass der Auftragsdatenverarbeiter bei Datenverlust den Auftraggeber unverzüglich informiert (§ 11 Abs. 2 Nr. 8 BDSG), damit dieser seinen eigenen Pflichten aus § 42a BDSG nachkommen kann.

Prävention durch Datenschutz-Compliance
Um mit der Informationspflicht einhergehende Imageschäden und Folgekosten zu vermeiden, sind die durch § 42a BDSG erfassten Daten sowie Geschäftsgeheimnisse im Allgemeinen (Stichwort Wirtschaftsspionage) durch geeignete Maßnahmen zu schützen. Denkbar sind hier im Rahmen einer umfassenden Datenschutz-Compliance Maßnahmen wie die Verschlüsselung von Daten und Datenträgern sowie die Beschränkung von Zugriffsrechten nach dem "Need-to-know-Prinzip".

Die umfassende Verschlüsselung von mobilen Datenträgern wie Laptops und USB-Sticks ist zudem sinnvoll und notwendig, um ausreichenden Schutz bei deren Verlust zu gewährleisten, indem der Zugriff Dritter und somit auch die Informationspflicht aus § 42a BDSG vermieden werden kann. Trotz aller gebotenen Vorsicht sollte aber auch der Aspekt der Datenverfügbarkeit nicht außer Acht gelassen werden. Daher sind auch bei mobilen Datenträgern regelmäßige Backups notwendig, um einmal erlangtes Know-how auf Dauer im Unternehmen zu halten.

Fazit
Für Unternehmen ist aufgrund der bei Datenpannen drohenden Kosten und Imageschäden ein gewisses Datenschutzniveau unabdingbar. Nicht zuletzt deshalb, da bei unvorhergesehenem Eintreten kurzfristige Gegenmaßnahmen die Kosten vorbeugender Maßnahmen regelmäßig bei weitem übersteigen (im Vergleich zu vorbeugenden Datenschutz-Maßnahmen verursachen nachträgliche Maßnahmen im Durchschnitt das Zweieinhalbfache an Kosten). In Abstimmung mit der IT-Abteilung, dem Datenschutzbeauftragten und dem Bereich Compliance sind insoweit etwaige Notfallszenarien zu beschreiben und geeignete Gegenmaßnahmen sowie Meldewege im Voraus festzulegen.

Giovanni Brugugnone ist Rechtsanwalt sowie Consultant Datenschutz und IT-Compliance bei der intersoft consulting services AG.

 

 

 

         <<Vorherige Seite                          Seite 2 von 2





dr/ln/Giovanni Brugugnone

 

 

 

 

 

 

 

Tags

Ähnliche Beiträge

Security und Compliance in Microsoft 365 (3)

Sicherheit und Datenschutz lassen sich nicht mit einem Toolset und einem spezifischen Setup handhaben. Administratoren wissen: Es handelt sich dabei eher um einen stetigen Prozess. Um hier gewappnet zu sein, hat Microsoft mit seinen Security- und Compliance-Produkten in der Cloud geeignete Werkzeuge am Start. Im dritten und letzten Teil zeigen wir, wie Sie E-Mails und Dokumente schützen und dabei auf sogenannte Bezeichnungen zurückgreifen.

Mit Zero-Trust-Segmentierung zu NIS-2

Mitte Oktober müssen die EU-Staaten die neue NIS-2-Richtlinie für Cybersicherheit in die nationale Gesetzgebung übertragen. Die hierzulande etwa 30.000 betroffenen Unternehmen und Organisationen haben dann höchstens vier Jahre Zeit, die Vorgaben umzusetzen und dies nachzuweisen. Der Gastbeitrag erklärt, welche Mindeststandards die Richtlinie einfordert und wie IT-Verantwortliche die Cyberresilienz erhöhen können.

Security und Compliance in Microsoft 365 (2)

Sicherheit und Datenschutz lassen sich nicht mit einem Toolset und einem spezifischen Setup handhaben. Administratoren wissen: Es handelt sich dabei eher um einen stetigen Prozess. Um hier gewappnet zu sein, hat Microsoft mit seinen Security- und Compliance-Produkten in der Cloud geeignete Werkzeuge am Start. Im zweiten Teil beschäftigen wir uns mit dem Anlegen von regelmäßigen Sicherheitschecks und wie Ihnen dabei Vorlagen helfen.