Fachartikel

Informationspflichten bei Datenlecks

Ob Datenleck, Datenpanne oder Datendiebstahl: Während die IT-Abteilung ins Rotieren kommt, um schnellstmöglich die undichte Stelle zu schließen, steht das Unternehmen bereits vor der unangenehmen Frage, ob es den Zwischenfall melden muss. Schließlich hat der Gesetzgeber gerade aufgrund der Vielzahl solcher Datenschutzskandale das "Gesetz zur Änderung datenschutzrechtlicher Vorschriften" erlassen. Das Bundesdatenschutzgesetz ist dabei eindeutig, was Informationspflichten angeht – und droht Unternehmen, die diesen nicht nachkommen, saftige Strafen an.
Die Vernachlässigung von Informations-pflichten bei Datenverlusten kann schwere juristische Folgen nach sich ziehen
Im Rahmen des geänderten Bundesdatenschutzgesetzes (BDSG) sind nicht-öffentliche Stellen ebenso wie öffentliche Wettbewerbsunternehmen gemäß § 42a BDSG in bestimmten Fällen dazu verpflichtet, Betroffene und die jeweils zuständige Aufsichtsbehörde zu informieren, wenn etwa durch Datenpannen oder Datenlecks Dritte unrechtmäßig Kenntnis von personenbezogenen Daten erlangt haben. Da es also nicht nur um die Meldung an die zuständige Aufsichtsbehörde, sondern möglicherweise auch um die Informationspflicht gegenüber tausenden von Kunden geht, ist ein gehöriger Imageschaden zu befürchten.

Andererseits: Wird der gesetzlichen Verpflichtung nicht oder nicht rechtzeitig nachgekommen, so kann dies gemäß § 43 Abs. 2 Nr. 7, Abs. 3 BDSG ein Bußgeld von bis zu 300.000 Euro zur Folge haben. Es steht also einiges auf dem Spiel. Besonders wichtig ist daher die Frage, in welchen Fällen § 42a BDSG überhaupt zum Tragen kommt. Und, sollte dies der Fall sein, wann und in welcher Form Aufsichtsbehörden und Betroffene dann zu informieren sind.

Datenschutz sensibler, personenbezogener Daten durch § 42a BDSG
Die Informationspflicht aus § 42a BDSG wird nur durch solche Arten personenbezogener Daten ausgelöst, die vom Gesetzgeber als besonders sensibel angesehen werden (sogenannte Risikodaten). Diese sind in § 42a BDSG abschließend aufgezählt:

  • Die in § 3 Abs. 9 BDSG angegebenen besondere Arten personenbezogener Daten, also unter anderem Angaben über die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen und Gesundheit.
  • Personenbezogene Daten, die einem Berufsgeheimnis gemäß § 203 StGB unterliegen, wie beispielsweise bei Ärzten oder Rechtsanwälten.
  • Personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder einen diesbezüglichen Verdacht beziehen.
  • Personenbezogene Daten zu Bank- und Kreditkartenkonten, wie beispielsweise Kreditkarten- und Kontonummer oder auch Kontoauszüge.
Weiterhin ist erforderlich, dass oben genannte Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind.
  1. Unrechtmäßige Kenntnisnahme Dritter: Bei der Feststellung, dass Daten Dritten unrechtmäßig zur Kenntnis gelangt sind, bedarf es keiner absoluten Gewissheit. Vielmehr genügt die Wahrscheinlichkeit, dass es zu einer Kenntnisnahme Dritter gekommen ist, etwa durch einen Hackerangriff. Dies betrifft beispielsweise auch Fälle des Datenverlustes durch Abhandenkommen von Laptops oder sonstiger mobiler Datenträger. Bei bloßem Verdacht oder dem Gewahrsam Dritter an Datenträgern, ohne die Möglichkeit, hierauf zuzugreifen (beispielsweise aufgrund einer sicheren Verschlüsselung), ist eine Kenntnisnahme in diesem Sinne nicht anzunehmen. Jedoch ist die alleinige Kenntnisnahme durch Dritte allein nicht ausreichend, um eine Informationspflicht nach § 42a BDSG auszulösen.
  2. Schwerwiegende Beeinträchtigung: Vielmehr ist zusätzlich erforderlich, dass die Daten in einer Weise verwendet werden, die sich für die Betroffenen schädlich auswirkt. Hierbei genügt, dass schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Ob im Einzelfall eine schwerwiegende Beeinträchtigung anzunehmen ist, bestimmt sich unter anderem nach der Art der betroffenen Daten und den potenziellen Auswirkungen (mögliche Verwendungsszenarien) der unrechtmäßigen Kenntnisnahme Dritter (etwa finanzielle Schäden bei Kreditkartendaten). Hierbei handelt es sich um eine Prognose-Entscheidung, in die gemäß § 4a Abs. 1 S. 1 BDSG der betriebliche Datenschutzbeauftragte einzubeziehen ist.
Betroffene und Aufsichtsbehörde informieren
Liegen die oben genannten Voraussetzungen vor, sind die Betroffenen und die zuständige Aufsichtsbehörde nach § 42a Satz 1 BDSG unverzüglich hierüber in Kenntnis zu setzen. Nach der Legaldefinition des § 121 BGB ist darunter ein Handeln ohne schuldhaftes Zögern zu verstehen. Betrachten wir die Vorschrift des § 42a BDSG etwas genauer, wird deutlich, dass die Benachrichtigung der Aufsichtsbehörde (§ 42a Satz 4 BDSG) gegenüber der Benachrichtigung der Betroffenen (§ 42a Satz 2, 3, 5 BDSG) sowohl inhaltlich umfangreicher als auch zeitlich früher erfolgen muss:
  1. Benachrichtigung der Betroffenen: Hinsichtlich der Information der Betroffenen ist der Grundsatz der unverzüglichen Benachrichtigung dahingehend eingeschränkt, dass diese erst erfolgen muss, wenn angemessene Maßnahmen zur Sicherung der Daten ergriffen wurden und die Strafverfolgung nicht mehr gefährdet wird. Dies stellt klar, dass zunächst etwaige vorhandene Sicherheitslücken geschlossen werden können, um so einer erneuten Ausnutzung dieser vorzubeugen. Darüber hinaus sollen auch etwaige Ermittlungsarbeiten der Strafverfolgungsbehörden nicht beeinträchtigt werden. Sofern ein kriminelles Handeln im Raum steht, ist die Benachrichtigung der Betroffenen mit den jeweiligen Strafverfolgungsbehörden abzustimmen.
  2. Benachrichtigung der Aufsichtsbehörde: Die zuständige Aufsichtsbehörde (der Landesdatenschutzbeauftragte) ist hingegen nach Ermittlung und Prüfung der Voraussetzungen des § 42a BDSG ohne Einschränkung unverzüglich zu benachrichtigen.



                                                Seite 1 von 2                     Nächste Seite>>


9.05.2011/dr/ln/Giovanni Brugugnone

Nachrichten

Hacker-Angriff auf Marriott möglicherweise politisch motiviert [14.12.2018]

Berichten zufolge steckt hinter einer massiven Cyberattacke in einer Marriott-Hotelkette ein chinesischer Geheimdienst, der die persönlichen Informationen von bis zu 500 Millionen Kunden erbeutete. Dies meldet das IT-Sicherheitsunternehmen Vectra. [mehr]

Sicherheitslücken in verbreiteten IoT-Protokollen [14.12.2018]

Trend Micro warnt Unternehmen vor möglichen Sicherheitslücken in ihrer Betriebstechnologie. Forscher des japanischen IT-Sicherheitsanbieters entdeckten massive Schwachstellen und gefährdete Anwendungen von zwei weit verbreiteten Protokollen für die Machine-to-Machine-Kommunikation. [mehr]

Tipps & Tools

Audioprobleme bei Remotesession beheben [2.12.2018]

Wer Linux-Endgeräte im Zusammenspiel mit der USB-Geräteumleitung von Audiogeräten in einer XenApp/Virtual-Apps-Remotesession nutzt, steht unter Umständen vor folgendem Problem: Die USB-Geräteumleitung von Audiogeräten über einen Linux-Receiver zum Server-VDA auf Basis von Windows Server 2016 funktioniert nicht korrekt. Das Gerät erscheint zwar im Gerätemanager, wird jedoch nicht unter Wiedergabegeräte als Audio-Ein-/Ausgabegerät angezeigt. Doch es gibt eine einfach Lösung. [mehr]

Neues Training: Amazon Web Services für KMUs [26.11.2018]

Nach anfänglichen, hauptsächlich auf Sicherheitsfragen basierenden Bedenken gegen die Nutzung von Public-Cloud-Diensten, steigt der Einsatz von IaaS- oder SaaS-Diensten nun auch bei in Deutschland beheimateten Unternehmen rasant an. Doch gerade für KMU mit einer kleinen IT-Mannschaft gilt es dabei, die Komplexität der von Amazon Web Services angebotenen Dienste ebenso zu beherrschen wie die Integration in die lokale IT. Unser  Training im Frühjahr 2019 greift Ihnen unter die Arme. [mehr]

Buchbesprechung

Praxisbuch IT-Dokumentation

von Manuela und Georg Reiss

Anzeigen