Seite 2 - Informationspflichten bei Datenlecks

Lesezeit
2 Minuten
Bis jetzt gelesen

Seite 2 - Informationspflichten bei Datenlecks

09.05.2011 - 00:00
Veröffentlicht in:

Inhalt und Form der Information des Betroffenen
Den Betroffenen ist transparent offenzulegen, was genau sich ereignete und welche Gegenmaßnahmen zur Minderung möglicher weiterer nachteiliger Folgen empfohlen werden. Die zuständige Aufsichtsbehörde ist gemäß § 42a Satz 4 BDSG zusätzlich darüber zu informieren, welche möglichen nachteiligen Folgen durch die unrechtmäßige Kenntniserlangung drohen und welche Maßnahmen bereits hiergegen ergriffen wurden (etwa Sperren von Kredit- oder EC-Karten). Der Aufsichtsbehörde ist auch mitzuteilen, ob die Betroffenen informiert und welche konkreten Maßnahmen ihnen empfohlen wurden.

Grundsätzlich ist jeder Betroffene einzeln zu benachrichtigen, eine besondere Form sieht das Gesetz hier jedoch nicht vor. Es empfiehlt sich aus Gründen der Nachweisbarkeit die Information mittels verschlüsselter E-Mail oder auf postalischem Wege etwa durch ein Einschreiben mit Rückschein. Soweit die Einzelbenachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der Fälle, kann gemäß § 42a Satz 5 BDSG die Individualbenachrichtigung durch die Benachrichtigung der Öffentlichkeit ersetzt werden. Dies kann durch Anzeigen erfolgen, die mindestens eine halbe Seite umfassen und in mindestens zwei bundesweit erscheinenden Tageszeitungen veröffentlicht werden, oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. Auch die Aufsichtsbehörden sollten aus Gründen der Nachweisbarkeit zusätzlich zur im Einzelfall erforderlichen kurzfristigen telefonischen Information schriftlich informiert werden.

Keine Informationspflicht für Auftragsdatenverarbeiter
Gehen Daten des Auftraggebers als verantwortliche Stelle beim Auftragnehmer – also dem Auftragsdatenverarbeiter gemäß § 11 BDSG – verloren, stellt sich die Frage, ob auch diesen die Informationspflichten des § 42a BDSG treffen. Eine solche Pflicht gibt es allerdings nicht, denn § 11 Abs. 4 BDSG regelt abschließend die Pflichten des BDSG, die auf Auftragsdatenverarbeiter anwendbar sind. Insoweit hat jeder Auftraggeber durch entsprechende Ausgestaltung der Verträge zur Auftragsdatenverarbeitung dafür Sorge zu tragen, dass der Auftragsdatenverarbeiter bei Datenverlust den Auftraggeber unverzüglich informiert (§ 11 Abs. 2 Nr. 8 BDSG), damit dieser seinen eigenen Pflichten aus § 42a BDSG nachkommen kann.

Prävention durch Datenschutz-Compliance
Um mit der Informationspflicht einhergehende Imageschäden und Folgekosten zu vermeiden, sind die durch § 42a BDSG erfassten Daten sowie Geschäftsgeheimnisse im Allgemeinen (Stichwort Wirtschaftsspionage) durch geeignete Maßnahmen zu schützen. Denkbar sind hier im Rahmen einer umfassenden Datenschutz-Compliance Maßnahmen wie die Verschlüsselung von Daten und Datenträgern sowie die Beschränkung von Zugriffsrechten nach dem "Need-to-know-Prinzip".

Die umfassende Verschlüsselung von mobilen Datenträgern wie Laptops und USB-Sticks ist zudem sinnvoll und notwendig, um ausreichenden Schutz bei deren Verlust zu gewährleisten, indem der Zugriff Dritter und somit auch die Informationspflicht aus § 42a BDSG vermieden werden kann. Trotz aller gebotenen Vorsicht sollte aber auch der Aspekt der Datenverfügbarkeit nicht außer Acht gelassen werden. Daher sind auch bei mobilen Datenträgern regelmäßige Backups notwendig, um einmal erlangtes Know-how auf Dauer im Unternehmen zu halten.

Fazit
Für Unternehmen ist aufgrund der bei Datenpannen drohenden Kosten und Imageschäden ein gewisses Datenschutzniveau unabdingbar. Nicht zuletzt deshalb, da bei unvorhergesehenem Eintreten kurzfristige Gegenmaßnahmen die Kosten vorbeugender Maßnahmen regelmäßig bei weitem übersteigen (im Vergleich zu vorbeugenden Datenschutz-Maßnahmen verursachen nachträgliche Maßnahmen im Durchschnitt das Zweieinhalbfache an Kosten). In Abstimmung mit der IT-Abteilung, dem Datenschutzbeauftragten und dem Bereich Compliance sind insoweit etwaige Notfallszenarien zu beschreiben und geeignete Gegenmaßnahmen sowie Meldewege im Voraus festzulegen.

Giovanni Brugugnone ist Rechtsanwalt sowie Consultant Datenschutz und IT-Compliance bei der intersoft consulting services AG.

 

 

 

         <<Vorherige Seite                          Seite 2 von 2





dr/ln/Giovanni Brugugnone

 

 

 

 

 

 

 

Tags

Ähnliche Beiträge

So bleibt IT-Sicherheit auch für den Mittelstand bezahlbar Redaktion IT-A… Mi., 27.03.2024 - 09:16
IT-Sicherheit darf keine Kostenfrage sein. Dennoch nennen viele Unternehmen die Investitions- und Betriebskosten als Hauptgrund für ihre Zurückhaltung beim Thema Sicherheit. Doch wie viel Wahrheit steckt dahinter? Warum handeln deutsche Unternehmen (noch) nicht? Und warum ist ITSicherheit überlebenswichtig? Und welche Rolle spielt dabei NIS2? Diesen Fragen und möglichen Lösungsansätzen gehen wir in unserem Artikel auf den Grund.

Künstliche Intelligenz nutzen und datenschutzkonform agieren

Künstliche Intelligenz ist ein Meilenstein für die Technologiebranche, ihr volles Potenzial aber noch nicht ausgeschöpft. Es zeigt sich jedoch, dass KI-Anwendungen eine intensive Datennutzung und menschliches Eingreifen erfordern – nicht zuletzt um Datenschutz zu gewährleisten und mögliche neue Sicherheitsrisikien zu vermeiden. Organisationen müssen daher analysieren, wie sie KI in ihre Strategie zum Datenmanagement integrieren können.

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.