Informationspflichten bei Datenlecks

Lesezeit
2 Minuten
Bis jetzt gelesen

Informationspflichten bei Datenlecks

09.05.2011 - 00:00
Veröffentlicht in:

Ob Datenleck, Datenpanne oder Datendiebstahl: Während die IT-Abteilung ins Rotieren kommt, um schnellstmöglich die undichte Stelle zu schließen, steht das Unternehmen bereits vor der unangenehmen Frage, ob es den Zwischenfall melden muss. Schließlich hat der Gesetzgeber gerade aufgrund der Vielzahl solcher Datenschutzskandale das "Gesetz zur Änderung datenschutzrechtlicher Vorschriften" erlassen. Das Bundesdatenschutzgesetz ist dabei eindeutig, was Informationspflichten angeht – und droht Unternehmen, die diesen nicht nachkommen, saftige Strafen an.

Im Rahmen des geänderten Bundesdatenschutzgesetzes (BDSG) sind nicht-öffentliche Stellen ebenso wie öffentliche Wettbewerbsunternehmen gemäß § 42a BDSG in bestimmten Fällen dazu verpflichtet, Betroffene und die jeweils zuständige Aufsichtsbehörde zu informieren, wenn etwa durch Datenpannen oder Datenlecks Dritte unrechtmäßig Kenntnis von personenbezogenen Daten erlangt haben. Da es also nicht nur um die Meldung an die zuständige Aufsichtsbehörde, sondern möglicherweise auch um die Informationspflicht gegenüber tausenden von Kunden geht, ist ein gehöriger Imageschaden zu befürchten.

Andererseits: Wird der gesetzlichen Verpflichtung nicht oder nicht rechtzeitig nachgekommen, so kann dies gemäß § 43 Abs. 2 Nr. 7, Abs. 3 BDSG ein Bußgeld von bis zu 300.000 Euro zur Folge haben. Es steht also einiges auf dem Spiel. Besonders wichtig ist daher die Frage, in welchen Fällen § 42a BDSG überhaupt zum Tragen kommt. Und, sollte dies der Fall sein, wann und in welcher Form Aufsichtsbehörden und Betroffene dann zu informieren sind.

Datenschutz sensibler, personenbezogener Daten durch § 42a BDSG
Die Informationspflicht aus § 42a BDSG wird nur durch solche Arten personenbezogener Daten ausgelöst, die vom Gesetzgeber als besonders sensibel angesehen werden (sogenannte Risikodaten). Diese sind in § 42a BDSG abschließend aufgezählt:
 

  • Die in § 3 Abs. 9 BDSG angegebenen besondere Arten personenbezogener Daten, also unter anderem Angaben über die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen und Gesundheit.
  • Personenbezogene Daten, die einem Berufsgeheimnis gemäß § 203 StGB unterliegen, wie beispielsweise bei Ärzten oder Rechtsanwälten.
  • Personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder einen diesbezüglichen Verdacht beziehen.
  • Personenbezogene Daten zu Bank- und Kreditkartenkonten, wie beispielsweise Kreditkarten- und Kontonummer oder auch Kontoauszüge.

Weiterhin ist erforderlich, dass oben genannte Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind.

  1. Unrechtmäßige Kenntnisnahme Dritter: Bei der Feststellung, dass Daten Dritten unrechtmäßig zur Kenntnis gelangt sind, bedarf es keiner absoluten Gewissheit. Vielmehr genügt die Wahrscheinlichkeit, dass es zu einer Kenntnisnahme Dritter gekommen ist, etwa durch einen Hackerangriff. Dies betrifft beispielsweise auch Fälle des Datenverlustes durch Abhandenkommen von Laptops oder sonstiger mobiler Datenträger. Bei bloßem Verdacht oder dem Gewahrsam Dritter an Datenträgern, ohne die Möglichkeit, hierauf zuzugreifen (beispielsweise aufgrund einer sicheren Verschlüsselung), ist eine Kenntnisnahme in diesem Sinne nicht anzunehmen. Jedoch ist die alleinige Kenntnisnahme durch Dritte allein nicht ausreichend, um eine Informationspflicht nach § 42a BDSG auszulösen.
  2. Schwerwiegende Beeinträchtigung: Vielmehr ist zusätzlich erforderlich, dass die Daten in einer Weise verwendet werden, die sich für die Betroffenen schädlich auswirkt. Hierbei genügt, dass schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Ob im Einzelfall eine schwerwiegende Beeinträchtigung anzunehmen ist, bestimmt sich unter anderem nach der Art der betroffenen Daten und den potenziellen Auswirkungen (mögliche Verwendungsszenarien) der unrechtmäßigen Kenntnisnahme Dritter (etwa finanzielle Schäden bei Kreditkartendaten). Hierbei handelt es sich um eine Prognose-Entscheidung, in die gemäß § 4a Abs. 1 S. 1 BDSG der betriebliche Datenschutzbeauftragte einzubeziehen ist.

Betroffene und Aufsichtsbehörde informieren
Liegen die oben genannten Voraussetzungen vor, sind die Betroffenen und die zuständige Aufsichtsbehörde nach § 42a Satz 1 BDSG unverzüglich hierüber in Kenntnis zu setzen. Nach der Legaldefinition des § 121 BGB ist darunter ein Handeln ohne schuldhaftes Zögern zu verstehen. Betrachten wir die Vorschrift des § 42a BDSG etwas genauer, wird deutlich, dass die Benachrichtigung der Aufsichtsbehörde (§ 42a Satz 4 BDSG) gegenüber der Benachrichtigung der Betroffenen (§ 42a Satz 2, 3, 5 BDSG) sowohl inhaltlich umfangreicher als auch zeitlich früher erfolgen muss:

 

  1. Benachrichtigung der Betroffenen: Hinsichtlich der Information der Betroffenen ist der Grundsatz der unverzüglichen Benachrichtigung dahingehend eingeschränkt, dass diese erst erfolgen muss, wenn angemessene Maßnahmen zur Sicherung der Daten ergriffen wurden und die Strafverfolgung nicht mehr gefährdet wird. Dies stellt klar, dass zunächst etwaige vorhandene Sicherheitslücken geschlossen werden können, um so einer erneuten Ausnutzung dieser vorzubeugen. Darüber hinaus sollen auch etwaige Ermittlungsarbeiten der Strafverfolgungsbehörden nicht beeinträchtigt werden. Sofern ein kriminelles Handeln im Raum steht, ist die Benachrichtigung der Betroffenen mit den jeweiligen Strafverfolgungsbehörden abzustimmen.
  2. Benachrichtigung der Aufsichtsbehörde: Die zuständige Aufsichtsbehörde (der Landesdatenschutzbeauftragte) ist hingegen nach Ermittlung und Prüfung der Voraussetzungen des § 42a BDSG ohne Einschränkung unverzüglich zu benachrichtigen.

 


 

 

                                                Seite 1 von 2                     Nächste Seite>>






dr/ln/Giovanni Brugugnone

 

 

 

Tags

Ähnliche Beiträge

So bleibt IT-Sicherheit auch für den Mittelstand bezahlbar Redaktion IT-A… Mi., 27.03.2024 - 09:16
IT-Sicherheit darf keine Kostenfrage sein. Dennoch nennen viele Unternehmen die Investitions- und Betriebskosten als Hauptgrund für ihre Zurückhaltung beim Thema Sicherheit. Doch wie viel Wahrheit steckt dahinter? Warum handeln deutsche Unternehmen (noch) nicht? Und warum ist ITSicherheit überlebenswichtig? Und welche Rolle spielt dabei NIS2? Diesen Fragen und möglichen Lösungsansätzen gehen wir in unserem Artikel auf den Grund.

Künstliche Intelligenz nutzen und datenschutzkonform agieren

Künstliche Intelligenz ist ein Meilenstein für die Technologiebranche, ihr volles Potenzial aber noch nicht ausgeschöpft. Es zeigt sich jedoch, dass KI-Anwendungen eine intensive Datennutzung und menschliches Eingreifen erfordern – nicht zuletzt um Datenschutz zu gewährleisten und mögliche neue Sicherheitsrisikien zu vermeiden. Organisationen müssen daher analysieren, wie sie KI in ihre Strategie zum Datenmanagement integrieren können.

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.