Datenschutzrechtliche Informationspflicht bei Sicherheitspannen

Mehr zum Thema: Datenschutzrecht, Datenschutz
0 von 5 Sterne
Bewerten mit: 5 Sterne 4 Sterne 3 Sterne 2 Sterne 1 Stern
0

Deutsche Unternehmen können unter bestimmten Voraussetzungen verpflichtet sein, Sicherheitsmängel bei der Datenverarbeitung unaufgefordert anzuzeigen. Die Idee, dass Unternehmen Sicherheitsmängel anzeigen müssen, ist nicht neu. In den USA gibt es derartige gesetzliche Vorschriften schon länger. In Deutschland findet sich die Rechtsgrundlage dieser Anzeigeplicht im zum 1.9.2009 neu eingefügten § 42a BDSG. Sie setzt voraus, dass bestimmte sensible Daten, wie die Bank- oder Kreditkartendaten, Daten, die sich auf strafbare Handlungen beziehen, die einem Berufsgeheimnis unterliegen oder besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) Dritten unrechtmäßig zur Kenntnis gelangen und „schwerwiegende Beeinträchtigungen für die Rechte oder die schutzwürdigen Interessen der Betroffenen“ drohen. Bisher noch nicht endgültig geklärt ist, wann im Sinne des Gesetzes schwerwiegende Rechts- oder Interessenbeeinträchtigungen anzunehmen sind. In der Gesetzesbegründung heißt es, dass z. B. materielle Schäden oder soziale Nachteile einschließlich des Identitätsbetrugs schwerwiegende Beeinträchtigungen darstellen können (BT-Dr. 16/12011, S. 34).

Die Regelung greift ihrem Wortlaut nach nicht nur dann ein, wenn die Datenpanne aufgrund eigenen Verschuldens herbeigeführt worden ist, sondern auch dann, wenn beispielsweise trotz Einhaltung der erforderlichen Sicherheitsmaßnahmen ein Hackerangriff dazu geführt hat, dass Daten ausgespäht worden sind.

Die Anzeigepflicht besteht sowohl gegenüber der zuständigen Datenschutzbehörde, als auch andererseits gegenüber den betroffenen Personen. Die Benachrichtigung muss ohne schuldhaftes Zögern erfolgen und Informationen über die Art der unrechtmäßigen Kenntniserlangung sowie Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen beinhalten. An die Aufsichtsbehörde müssen zusätzlich Informationen zu den von der verarbeitenden Stelle ergriffenen Maßnahmen und eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung enthalten.

Bedeutung für die Praxis: Die datenschutzrechtliche Informationspflicht ist eine neue Pflicht für Daten verarbeitende Stellen. Sie gilt nicht nur, wenn sich das Unternehmen sorgfaltswidrig verhalten hat, sondern auch bei unverschuldeten Hacker-Angriffen. Wird die Informationspflicht nicht beachtet, kann ein Bußgeld in Höhe von bis zu 300.000 Euro verhängt werden (§ 43 Abs. 2 Nr. 7, Abs. 3 BDSG).

Das könnte Sie auch interessieren
Datenschutzrecht Spam-Mails und Datenschutz