Fachartikel

Informationspflichten bei Datenlecks

Ob Datenleck, Datenpanne oder Datendiebstahl: Während die IT-Abteilung ins Rotieren kommt, um schnellstmöglich die undichte Stelle zu schließen, steht das Unternehmen bereits vor der unangenehmen Frage, ob es den Zwischenfall melden muss. Schließlich hat der Gesetzgeber gerade aufgrund der Vielzahl solcher Datenschutzskandale das "Gesetz zur Änderung datenschutzrechtlicher Vorschriften" erlassen. Das Bundesdatenschutzgesetz ist dabei eindeutig, was Informationspflichten angeht – und droht Unternehmen, die diesen nicht nachkommen, saftige Strafen an.
Die Vernachlässigung von Informations-pflichten bei Datenverlusten kann schwere juristische Folgen nach sich ziehen
Im Rahmen des geänderten Bundesdatenschutzgesetzes (BDSG) sind nicht-öffentliche Stellen ebenso wie öffentliche Wettbewerbsunternehmen gemäß § 42a BDSG in bestimmten Fällen dazu verpflichtet, Betroffene und die jeweils zuständige Aufsichtsbehörde zu informieren, wenn etwa durch Datenpannen oder Datenlecks Dritte unrechtmäßig Kenntnis von personenbezogenen Daten erlangt haben. Da es also nicht nur um die Meldung an die zuständige Aufsichtsbehörde, sondern möglicherweise auch um die Informationspflicht gegenüber tausenden von Kunden geht, ist ein gehöriger Imageschaden zu befürchten.

Andererseits: Wird der gesetzlichen Verpflichtung nicht oder nicht rechtzeitig nachgekommen, so kann dies gemäß § 43 Abs. 2 Nr. 7, Abs. 3 BDSG ein Bußgeld von bis zu 300.000 Euro zur Folge haben. Es steht also einiges auf dem Spiel. Besonders wichtig ist daher die Frage, in welchen Fällen § 42a BDSG überhaupt zum Tragen kommt. Und, sollte dies der Fall sein, wann und in welcher Form Aufsichtsbehörden und Betroffene dann zu informieren sind.

Datenschutz sensibler, personenbezogener Daten durch § 42a BDSG
Die Informationspflicht aus § 42a BDSG wird nur durch solche Arten personenbezogener Daten ausgelöst, die vom Gesetzgeber als besonders sensibel angesehen werden (sogenannte Risikodaten). Diese sind in § 42a BDSG abschließend aufgezählt:

  • Die in § 3 Abs. 9 BDSG angegebenen besondere Arten personenbezogener Daten, also unter anderem Angaben über die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen und Gesundheit.
  • Personenbezogene Daten, die einem Berufsgeheimnis gemäß § 203 StGB unterliegen, wie beispielsweise bei Ärzten oder Rechtsanwälten.
  • Personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder einen diesbezüglichen Verdacht beziehen.
  • Personenbezogene Daten zu Bank- und Kreditkartenkonten, wie beispielsweise Kreditkarten- und Kontonummer oder auch Kontoauszüge.
Weiterhin ist erforderlich, dass oben genannte Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind.
  1. Unrechtmäßige Kenntnisnahme Dritter: Bei der Feststellung, dass Daten Dritten unrechtmäßig zur Kenntnis gelangt sind, bedarf es keiner absoluten Gewissheit. Vielmehr genügt die Wahrscheinlichkeit, dass es zu einer Kenntnisnahme Dritter gekommen ist, etwa durch einen Hackerangriff. Dies betrifft beispielsweise auch Fälle des Datenverlustes durch Abhandenkommen von Laptops oder sonstiger mobiler Datenträger. Bei bloßem Verdacht oder dem Gewahrsam Dritter an Datenträgern, ohne die Möglichkeit, hierauf zuzugreifen (beispielsweise aufgrund einer sicheren Verschlüsselung), ist eine Kenntnisnahme in diesem Sinne nicht anzunehmen. Jedoch ist die alleinige Kenntnisnahme durch Dritte allein nicht ausreichend, um eine Informationspflicht nach § 42a BDSG auszulösen.
  2. Schwerwiegende Beeinträchtigung: Vielmehr ist zusätzlich erforderlich, dass die Daten in einer Weise verwendet werden, die sich für die Betroffenen schädlich auswirkt. Hierbei genügt, dass schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Ob im Einzelfall eine schwerwiegende Beeinträchtigung anzunehmen ist, bestimmt sich unter anderem nach der Art der betroffenen Daten und den potenziellen Auswirkungen (mögliche Verwendungsszenarien) der unrechtmäßigen Kenntnisnahme Dritter (etwa finanzielle Schäden bei Kreditkartendaten). Hierbei handelt es sich um eine Prognose-Entscheidung, in die gemäß § 4a Abs. 1 S. 1 BDSG der betriebliche Datenschutzbeauftragte einzubeziehen ist.
Betroffene und Aufsichtsbehörde informieren
Liegen die oben genannten Voraussetzungen vor, sind die Betroffenen und die zuständige Aufsichtsbehörde nach § 42a Satz 1 BDSG unverzüglich hierüber in Kenntnis zu setzen. Nach der Legaldefinition des § 121 BGB ist darunter ein Handeln ohne schuldhaftes Zögern zu verstehen. Betrachten wir die Vorschrift des § 42a BDSG etwas genauer, wird deutlich, dass die Benachrichtigung der Aufsichtsbehörde (§ 42a Satz 4 BDSG) gegenüber der Benachrichtigung der Betroffenen (§ 42a Satz 2, 3, 5 BDSG) sowohl inhaltlich umfangreicher als auch zeitlich früher erfolgen muss:
  1. Benachrichtigung der Betroffenen: Hinsichtlich der Information der Betroffenen ist der Grundsatz der unverzüglichen Benachrichtigung dahingehend eingeschränkt, dass diese erst erfolgen muss, wenn angemessene Maßnahmen zur Sicherung der Daten ergriffen wurden und die Strafverfolgung nicht mehr gefährdet wird. Dies stellt klar, dass zunächst etwaige vorhandene Sicherheitslücken geschlossen werden können, um so einer erneuten Ausnutzung dieser vorzubeugen. Darüber hinaus sollen auch etwaige Ermittlungsarbeiten der Strafverfolgungsbehörden nicht beeinträchtigt werden. Sofern ein kriminelles Handeln im Raum steht, ist die Benachrichtigung der Betroffenen mit den jeweiligen Strafverfolgungsbehörden abzustimmen.
  2. Benachrichtigung der Aufsichtsbehörde: Die zuständige Aufsichtsbehörde (der Landesdatenschutzbeauftragte) ist hingegen nach Ermittlung und Prüfung der Voraussetzungen des § 42a BDSG ohne Einschränkung unverzüglich zu benachrichtigen.



                                                Seite 1 von 2                     Nächste Seite>>


9.05.2011/dr/ln/Giovanni Brugugnone

Nachrichten

BSI untersucht Blockchain-Technologie [23.05.2019]

Spätestens der finanzielle Höhenflug der Kryptowährung Bitcoin im Jahr 2017 hat dazu geführt, dass auch außerhalb der Fachwelt über die Blockchain diskutiert wurde. Nachdem das BSI bereits im Februar 2018 in einem Eckpunktepapier grundsätzliche Fragestellungen im Zusammenhang mit der Blockchain untersucht hat, legt die nationale Cyber-Sicherheitsbehörde nun eine umfassende und tiefgehende Analyse der Blockchain-Technologie vor. [mehr]

Warteschleifen für verdächtige E-Mails [23.05.2019]

Die Dunkel GmbH ergänzt ihr Sicherheitsprogramm "Safe Cascade by Dunkel" um eine 12-Stunden-Sperrfrist für E-Mails, die laut Scanner virenfrei sind, aber verdächtige Anhänge enthalten. Durchläuft eine Mail erfolgreich den bisherigen Prüfparcours, lässt wegen ihrer Anlage aber dennoch auf Risiko schließen, greift das neue Feature: Sie verharrt in einer Zwangspause. Stuft der Algorithmus sie nach Ablauf der Frist tatsächlich als bösartig ein, wird sie vernichtet und nicht in das Postfach des Empfängers geleitet. [mehr]

Tipps & Tools

Ubuntu-VM in Citrix erstellen [19.05.2019]

In Citrix-Umgebungen lassen sich unter Umständen nicht alle Applikationen als sogenannte 'Published Apps' bereitstellen, da es Abhängigkeiten zwischen Anwendungen gibt oder diese teils miteinander interagieren müssen, wofür ein kompletter Desktop benötigt wird. Möglicher Ausweg kann dann sein, für bestimmte Nutzer dedizierte Linux-VMs auf Basis von Ubuntu 16.04 zur Verfügung zu stellen, die per Machine Creation Services aus einem gemeinsamen Image erzeugt werden. Die Vorgehensweise dabei ist jedoch nicht ganz einfach. [mehr]

Jetzt erhältlich: Sonderheft Virtualisierung [8.04.2019]

Lange erwartet, jetzt endlich frisch aus der Druckerei: Das IT-Administrator Sonderheft 'Virtualisierung' wird seit einigen Tagen ausgeliefert und bietet IT-Verantwortlichen auf 180 Seiten Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Ordern Sie jetzt, und Sie haben das Heft in Kürze auf dem Schreibtisch. Abonnenten bestellen wie immer zum Vorzugspreis. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen