Informationspflichten bei "Datenpannen"

Regelmäßig werden über die Medien neue sogenannte Hackerattacken bekannt. Ziel eines solchen Datendiebstahls sind zumeist Benutzerkonten von Kunden, die neben Namen und E-Mail-Adressen auch Passwörter oder Kontodaten enthalten. Als Einfallstor dienen den Tätern nicht nur Schwachstellen des unternehmensinternen Netzwerks, sondern zunehmend auch die Smartphones der Mitarbeiter.

Info

Eine Übersicht über bekannt gewordene Datenschutzfälle finden Sie unter www.projekt-datenschutz.de/datenschutzvorfaelle.

Stellen Unternehmen einen Angriff auf ihre Kundendaten fest, stellt sich nach dem ersten Schock die Frage, welche Schritte im Rahmen eines ordnungsgemäßen Risikomanagements einzuleiten sind.

Das Bundesdatenschutzgesetz (BDSG) sieht in § 42a eine Informationspflicht gegenüber der zuständigen Aufsichtsbehörde und den Betroffenen vor. Voraussetzung einer Informationspflicht ist die Feststellung durch eine benachrichtigungspflichtige Stelle, das eine bestimmte Art von bei ihr gespeicherten Daten Dritten unrechtmäßig zur Kenntnis gelangt ist und deshalb schwerwiegende Beeinträchtigungen für die Rechte oder Interessen der Betroffenen drohen.

Im Folgenden werden die wesentlichen Punkte der Meldepflicht bei Datenschutzverletzungen stichpunktartig aufgezeigt:

  • Benachrichtigungspflichtige Stellen:

    • nicht öffentliche Stellen oder
    • öffentlich-rechtliche Wettbewerbsunternehmen (z. B. Krankenhäuser und öffentlich-rechtliche Kreditinstitute).

  • Risikodaten, bei denen eine Informationspflicht besteht:

    • Besondere Arten personenbezogener Daten (Angaben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben),
    • personenbezogene Daten, die einem Berufsgeheimnis unterliegen (z. B. Patientendaten),
    • personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
    • personenbezogene Daten zu Bank- oder Kreditkartenkonten

  • Typische Fälle unrechtmäßiger Kenntniserlangung durch Dritte:

    • Hackerangriffe,
    • Verlust eines (externen) Datenträgers wie z. B. Laptop oder USB-Stick,
    • unberechtigte Übermittlung von Daten durch Mitarbeiter.

  • Zeitpunkt der Informationspflicht:

    • „unverzügliche“ Benachrichtigung der Aufsichtsbehörde und
    • „unverzügliche“ Benachrichtigung der Betroffenen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen wurden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird.

  • Inhaltliche Anforderungen an die Benachrichtigung:

    • gegenüber der Aufsichtsbehörde:

      • Darlegung der Art der unrechtmäßigen Kenntniserlangung und der betroffenen Daten,
      • Darlegung möglicher nachteiliger Folgen der Datenschutzverletzung und der von der verantwortlichen Stelle nach Feststellung der Datenschutzverletzung ergriffenen Maßnahmen,
      • Information über die Benachrichtigung der Betroffenen.

    • gegenüber den Betroffenen:

      • Darlegung der Art der unrechtmäßigen Kenntniserlangung,
      • Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen.

  • Form der Information:

    • Das Bundesdatenschutzgesetz sieht für die Information kein Formerfordernis vor. Grundsätzlich ist jedoch die Schriftform zu empfehlen. Erfordert die individuelle Benachrichtigung der Betroffenen, z. B. aufgrund der Vielzahl der betroffenen Fälle, einen unverhältnismäßigen Aufwand, kann die Information auch gegenüber der Öffentlichkeit erfolgen (z. B. durch Anzeige auf mindestens einer halben Seite in mindestens zwei bundesweit erscheinenden Tageszeitungen).

  • Folgen einer aufgrund von Fahrlässigkeit oder Vorsatz nicht, nicht richtigen, nicht vollständigen oder nicht rechtzeitigen Benachrichtigung:

    • Bußgeld bis zu € 300.000 gemäß § 43 Abs. 2 Nr. 7, Abs. 3 BDSG
    • Je nach interner Zuständigkeitsverteilung bei der verantwortlichen Stelle kommen gemäß § 9 OWiG (Gesetz über Ordnungswidrigkeiten) z. B. die vertretungsberechtigten Organe der Gesellschaft oder die Mitarbeiter, die eigenverantwortlich mit der Informationspflicht beauftragt sind, als Adressaten des Bußgeldes in Betracht.
    • Das Bußgeld kann gemäß § 30 Abs. 1 OWiG auch gegen die juristische Person festgesetzt werden, wenn eine der in § 30 Abs. 1 Nr. 1-5 OWiG bezeichneten Personen die betriebsbezogene Ordnungswidrigkeit begangen hat und dadurch die Pflichten, welche die juristische Person oder die Personenvereinigung treffen, verletzt worden sind oder die juristische Person oder die Personenvereinigung bereichert worden ist oder werden sollte.
    • Hinzu kommen vertragliche und/oder deliktische Ansprüche der Betroffenen.

Trotz Einhaltung der gesetzlich vorgesehenen technischen und organisatorischen Maßnahmen gemäß § 9 BDSG nebst Anlage, gibt es für Unternehmen keinen 100%igen Schutz gegen Hackerangriffe. Dies ist vor allem darauf zurückzuführen, dass bestehende Sicherheitslücken meist erst durch Hackerangriffe aufgezeigt und erst anschließend geschlossen werden können. Hacker sind dem Unternehmen damit regelmäßig einen Schritt voraus. Neben diesen Risiken durch Dritte sehen sich Unternehmen aber auch mit fahrlässigen Handlungen ihrer eigenen Mitarbeiter konfrontiert. So kann bereits ein fehlerhaft ausgewählter E-Mail-Verteiler oder der Verlust eines Smartphones eine Informationspflicht gemäß § 42a BDSG begründen. Auf die Zahl der Personen, deren Daten Dritten unrechtmäßig zu Kenntnis gelangt sind, kommt es zudem nicht an. Die zu informierende Aufsichtsbehörde wird im Rahmen der Sachverhaltsklärung regelmäßig konkrete Nachfragen zur unternehmensinternen Datensicherung stellen. Dabei ist nicht auszuschließen, dass nicht bestehende oder nur unzureichende Datensicherungsmaßnahmen Anlass für weitere Nachforschungen der Aufsichtsbehörden geben. Dies kann dazu führen, dass Unternehmen im Ergebnis sogar ihre gesamten Datenverarbeitungsprozesse offenlegen müssen, welche sodann von den Aufsichtsbehörden nach Konformität mit dem Bundesdatenschutzgesetz geprüft werden.

Fazit

Vor diesem Hintergrund empfehlen wir:

  1. die Prüfung sämtlicher Datenverarbeitungsprozesse nach Maßgabe des Bundesdatenschutzgesetzes,
  2. die Implementierung von technischen und organisatorischen Maßnahmen, die einen Datenverlust verhindern,
  3. die Etablierung eines internen Risikomanagements für Fälle des Datenverlustes und
  4. im Falle eines Datenverlustes, die schnellstmögliche Abstimmung des weiteren Vorgehens mit erfahrenen Dritten (einschließlich der Prüfung, ob eine Informationspflicht tatsächlich besteht und welchen Umfang sie hat, sowie der Vorbereitung der Stellungnahme gegenüber der Aufsichtsbehörde und der Information der Betroffenen).

Kontakt für weitere Infos

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung. Ich stimme zu