Datenpannen nach § 42a BDSG

Datenpannen („data breach„, auch Datenleck, Datenverlust, Datendiebstahl) gibt es in großer Vielfalt. Von Hackangriffen über die Kopie auf Datenträger (z.B. USB-Sticks), Betriebsspionage durch eigene Mitarbeiter oder IT-Administratoren bis hin zu Social Engineering ist die Tabelle lang. Beim Social Engineering z.B. versucht der Angreifer das Vertrauen des autorisierten Nutzers zu gewinnen und verleitet diesen mit einem Trick vertrauliche Informationen wie die Abfrage von Passwörtern, Zugangscodes, etc. preiszugeben. Meist bleibt der Datenklau unbemerkt und falls doch, ist eine Rückverfolgung schwierig. Zudem fürchten Unternehmen mit einem Imageverlust, wenn Datenpannen an die Öffentlichkeit gelangen.

Allgemein sind unter Datenpannen Verstöße gegen die Datensicherheit und den Datenschutz zu verstehen bei denen Staatsgeheimnisse, Betriebsgeheimnisse oder personenbezogene Daten Unberechtigten bekannt geworden sind.

Die Definition der Datenpanne i.S.d. § 42a BDSG ist eine etwas andere und folgt indirekt aus dem Gesetzestext, der daraus folgenden Informationspflicht gegenüber den Aufsichtsbehörden. Vorläufer der Vorschrift waren die USA. Nach deren Vorbild und dem Vorschlag der EU-Kommission hat sich mit der BDSG-Novelle II die „Security Breach Notification“ („Data Breach Notification„) im deutschen Datenschutzrecht eingefunden.

Verletzungstatbestand

I.S.d. § 42a (1) BDSG ist eine Datenpanne die unrechtmäßige Übermittlung oder Kenntniserlangung auf sonstige Weise der in § 42a (1) Nr. 1 bis 4 BDSG genannten Daten. Gemeint sind personenbezogene Daten

  • besonderer Art nach § 3 IX BDSG (Nr.1),
  • die einem Berufsgeheimnis unterliegen (Nr.2),
  • die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen (Nr.3) oder
  • zu Bank- oder Kreditkartenkonten (Nr.4).

und daraus müssen für die Rechte oder schutzwürdigen Interessen der Betroffenen schwerwiegende Beeinträchtigungen drohen.

Risikodaten

Es handelt sich also um besonders sensible Daten. Damit sollen Bagatellfälle ausgegrenzt werden. Sog. Risikodaten sind u.a. Daten über die Gesundheit, Religionszugehörigkeit, rassische und ethnische Herkunft, politische Meinungen, das Sexualleben, Vorbestrafungen, Kreditkartennummern, etc. Besonders betroffen sind daher Versicherungen, Ärzte, Krankenhäuser, Banken, aber auch Personalaktendaten beim Arbeitgeber.

Informationspflicht

Die Informationspflicht betrifft nichtöffentliche Stellen nach § 2 IV BDSG und öffentlich-rechtliche Wirtschaftsunternehmen nach § 27 I 1 Nr. 2 BDSG. Der Auftragsdatenverarbeiter nach § 11 BDSG zählt nicht dazu.

Für Dienstanbieter von Telemedien und Telekommunikationsdiensten gilt die Informationspflicht gem. § 15a TMG und § 93 III TKG entsprechend § 42a I BDSG.

Adressat

Adressat der Meldepflicht ist die zuständige Aufsichtsbehörde und die Betroffenen.

Frist der Meldung

Stellt die verantwortliche Stelle tatsächlich die unrechtmäßige Kenntniserlangung der Risikodaten durch den Dritten fest, so hat sie dies unverzüglich, also ohne schuldhaftes Zögern, dem Adressaten mitzuteilen.

Vorkehrungen

Vorkehrungen können mithilfe von Sicherheitssystemen getroffen werden, die einen Systemdiebstahl alarmieren und nachvollziehbar machen.

Haftungsrisiko

Zudem ist den Unternehmen anzuraten, Datenpannen nicht zu verschweigen oder gar zu vertuschen. Einerseits drohen besonders hohe Geldstrafen, wenn die Mitteilung nach § 43 II Nr.7 BDSG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt. Andererseits tragen sie durch ihre Mitwirkung erheblich an der Rückverfolgung und Schadensbegrenzung bei. Eine Meldung lohnt sich folglich.

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Beratung Datenschutzrecht

Tags: , , , , , , , , ,

Comments are closed.