Fachartikel

Seite 2 - Informationspflichten bei Datenlecks

Inhalt und Form der Information des Betroffenen
Den Betroffenen ist transparent offenzulegen, was genau sich ereignete und welche Gegenmaßnahmen zur Minderung möglicher weiterer nachteiliger Folgen empfohlen werden. Die zuständige Aufsichtsbehörde ist gemäß § 42a Satz 4 BDSG zusätzlich darüber zu informieren, welche möglichen nachteiligen Folgen durch die unrechtmäßige Kenntniserlangung drohen und welche Maßnahmen bereits hiergegen ergriffen wurden (etwa Sperren von Kredit- oder EC-Karten). Der Aufsichtsbehörde ist auch mitzuteilen, ob die Betroffenen informiert und welche konkreten Maßnahmen ihnen empfohlen wurden.

Grundsätzlich ist jeder Betroffene einzeln zu benachrichtigen, eine besondere Form sieht das Gesetz hier jedoch nicht vor. Es empfiehlt sich aus Gründen der Nachweisbarkeit die Information mittels verschlüsselter E-Mail oder auf postalischem Wege etwa durch ein Einschreiben mit Rückschein. Soweit die Einzelbenachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der Fälle, kann gemäß § 42a Satz 5 BDSG die Individualbenachrichtigung durch die Benachrichtigung der Öffentlichkeit ersetzt werden. Dies kann durch Anzeigen erfolgen, die mindestens eine halbe Seite umfassen und in mindestens zwei bundesweit erscheinenden Tageszeitungen veröffentlicht werden, oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. Auch die Aufsichtsbehörden sollten aus Gründen der Nachweisbarkeit zusätzlich zur im Einzelfall erforderlichen kurzfristigen telefonischen Information schriftlich informiert werden.

Keine Informationspflicht für Auftragsdatenverarbeiter
Gehen Daten des Auftraggebers als verantwortliche Stelle beim Auftragnehmer – also dem Auftragsdatenverarbeiter gemäß § 11 BDSG – verloren, stellt sich die Frage, ob auch diesen die Informationspflichten des § 42a BDSG treffen. Eine solche Pflicht gibt es allerdings nicht, denn § 11 Abs. 4 BDSG regelt abschließend die Pflichten des BDSG, die auf Auftragsdatenverarbeiter anwendbar sind. Insoweit hat jeder Auftraggeber durch entsprechende Ausgestaltung der Verträge zur Auftragsdatenverarbeitung dafür Sorge zu tragen, dass der Auftragsdatenverarbeiter bei Datenverlust den Auftraggeber unverzüglich informiert (§ 11 Abs. 2 Nr. 8 BDSG), damit dieser seinen eigenen Pflichten aus § 42a BDSG nachkommen kann.

Prävention durch Datenschutz-Compliance
Um mit der Informationspflicht einhergehende Imageschäden und Folgekosten zu vermeiden, sind die durch § 42a BDSG erfassten Daten sowie Geschäftsgeheimnisse im Allgemeinen (Stichwort Wirtschaftsspionage) durch geeignete Maßnahmen zu schützen. Denkbar sind hier im Rahmen einer umfassenden Datenschutz-Compliance Maßnahmen wie die Verschlüsselung von Daten und Datenträgern sowie die Beschränkung von Zugriffsrechten nach dem "Need-to-know-Prinzip".

Die umfassende Verschlüsselung von mobilen Datenträgern wie Laptops und USB-Sticks ist zudem sinnvoll und notwendig, um ausreichenden Schutz bei deren Verlust zu gewährleisten, indem der Zugriff Dritter und somit auch die Informationspflicht aus § 42a BDSG vermieden werden kann. Trotz aller gebotenen Vorsicht sollte aber auch der Aspekt der Datenverfügbarkeit nicht außer Acht gelassen werden. Daher sind auch bei mobilen Datenträgern regelmäßige Backups notwendig, um einmal erlangtes Know-how auf Dauer im Unternehmen zu halten.

Fazit
Für Unternehmen ist aufgrund der bei Datenpannen drohenden Kosten und Imageschäden ein gewisses Datenschutzniveau unabdingbar. Nicht zuletzt deshalb, da bei unvorhergesehenem Eintreten kurzfristige Gegenmaßnahmen die Kosten vorbeugender Maßnahmen regelmäßig bei weitem übersteigen (im Vergleich zu vorbeugenden Datenschutz-Maßnahmen verursachen nachträgliche Maßnahmen im Durchschnitt das Zweieinhalbfache an Kosten). In Abstimmung mit der IT-Abteilung, dem Datenschutzbeauftragten und dem Bereich Compliance sind insoweit etwaige Notfallszenarien zu beschreiben und geeignete Gegenmaßnahmen sowie Meldewege im Voraus festzulegen.

Giovanni Brugugnone ist Rechtsanwalt sowie Consultant Datenschutz und IT-Compliance bei der intersoft consulting services AG.


         <<Vorherige Seite                          Seite 2 von 2

9.05.2011/dr/ln/Giovanni Brugugnone

Nachrichten

Zwei Zero-Day-Lücken gefährden Exchange-Server [30.09.2022]

Angreifer nutzen offenbar zwei neue Sicherheitslücken in Exchange Server, für die es bislang keinen Patch gibt und die ihnen eine Codeausführung aus der Ferne ermöglichen. Im Rahmen der Attacken verschaffen sich die Hacker per Webshell dauerhaften Zugang zu den Servern. Doch gibt es für Admins zumindest einen Workaround, um die Angriffe abzuwehren. [mehr]

Passgenaue Zugriffsrechte [29.09.2022]

Illumio stellt "Illumio Endpoint" vor. Dieses ersetzt "Illumio Edge" und soll verhindern, dass sich Angriffe von Laptops auf Clouds und Rechenzentren ausbreiten. Durch hybrides Arbeiten ist die Angriffsfläche gewachsen, neue Bedrohungen sind entstanden und die Cyberrisiken für Unternehmen damit gestiegen. [mehr]

Tipps & Tools

Online-Intensivseminar "Hyper-V unter Windows Server 2019" [12.09.2022]

Allen Public-Cloud-Trends zum Trotz: Die lokale Virtualisierung ist bei vielen Unternehmen nach wie vor die sicherere Basis des IT-Betriebs. Lernen Sie in unserem dreitägigen Intensivseminar deshalb, wie diese optimal mit Microsofts Hyper-V gelingt. Dabei führt Sie die Onlineveranstaltung durch die komplette Arbeit mit virtuellen Maschinen – vom Erstellen, dem Anbinden ans Netz bis hin zur Versorgung mit passendem Speicher – Hochverfügbarkeit und Replikation der VMs inklusive. Die Veranstaltung findet vom 19. bis 21. Oktober virtuell statt. Zögern Sie nicht, sich Ihren Platz zu sichern – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Intensivseminar "Office 365 bereitstellen und absichern" in München oder online [8.08.2022]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und können Lizenzgebühren sparen. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensivseminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange, SharePoint Online und Teams. Die Veranstaltung findet Ende September in München statt – parallel dazu können Sie auch online teilnehmen. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen