Bei Abhandenkommen besonders schutzwürdiger, personenbezogener Daten: bei Auftragsdatenverarbeitung Auftraggeber informieren, andernfalls zuständige Aufsichtsbehörde informieren
Veröffentlicht am 10th Nov 2015
Geraten personenbezogene Daten in die falschen Hände, so ist das betroffene Unternehmen verpflichtet, diesen Umstand der zuständigen Aufsichtsbehörde und den Betroffenen (oftmals Kunden des Unternehmens) mitzuteilen. Diese Pflicht ergibt sich aus § 42a des Bundesdatenschutzgesetzes (BDSG), bzw. im Fall von Telemedien- und Telekommunikationsanbietern aus § 15a des Telemediengesetzes und den §§ 93, 109a des Telekommunikationsgesetzes.
Um welche Daten geht es?
Die Informationspflicht gilt jedoch nicht bei jeglichem Datenleck, sondern nur beim Abhandenkommen von den folgenden, besonders schutzwürdigen Daten:
- Besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG).
Hierzu zählen insbesondere Gesundheitsdaten, aber auch Angaben über die rassische und ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugung, die Gewerkschaftszugehörigkeit oder das Sexualleben
- Personenbezogene Daten, die einem Berufsgeheimnis unterliegen, also etwa elektronische Mandatsakten einer Anwaltskanzlei oder Patientenakten einer Arztpraxis
- Personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen– Personenbezogene Daten zu Bank- und Kreditkartenkonten
Was muss passiert sein?
Es muss nicht zu einem konkreten Missbrauch dieser Daten gekommen sein. Es genügt zunächst, dass die Daten unbefugt übermittelt wurden oder Dritten unrechtmäßig zur Kenntnis gelangt sind. Dabei ist es irrelevant, ob Mitarbeiter des Unternehmens ein Verschulden treffen oder nicht. Eine Benachrichtigungspflicht besteht sowohl bei Datendiebstählen, als auch bei der unrechtmäßigen Herausgabe oder dem Verlust von Daten.
Weitere Voraussetzung ist es, dass dem Betroffenen eine schwerwiegende Beeinträchtigung seiner Rechte oder seiner schutzwürdigen Interessen droht. Das ist bei Bankdaten dann der Fall, wenn diese ausreichen, um Transaktionen durchzuführen. Aber auch immaterielle Schäden, wie etwa die Verletzung von Persönlichkeitsrechten, können eine schwerwiegende Beeinträchtigung darstellen und damit zur Informationspflicht führen.
Ob die Betroffenen zu informieren sind, ist letztlich eine Frage des Einzelfalls. Bei der Abwägung kommt es neben den möglichen Folgen des Datenverlustes auch auf die Belastung des Betroffenen und die Wahrscheinlichkeit des Schadenseintritts an.
Um das Risiko eines Bußgeldes zu minimieren, hat es sich in der Praxis bewährt, Zweifelsfälle zusammen mit der zuständigen Aufsichtsbehörde zu klären.
Wer muss informieren?
Informieren muss grundsätzlich das Unternehmen, das die betroffenen Daten verarbeitet hat. Anders sieht es jedoch dann aus, wenn das Unternehmen nicht in eigener Verantwortung tätig ist, sondern als Auftragnehmer in Form einer sogenannten Auftragsdatenverarbeitung nach § 11 BDSG. Dann ist nicht das verarbeitende Unternehmen, der Auftragnehmer selbst zur Information verpflichtet, sondern der Auftraggeber. Der Gesetzgeber verlangt allerdings, dass ein Vertrag über eine Auftragsdatenverarbeitung eine Informationspflicht des Auftraggebers durch den Auftragnehmer bei Datenlecks enthält, siehe § 11 Abs. 2 Nr. 8 BDSG. Der Auftragnehmer wird also in der Regel vertraglich verpflichtet sein, sich mit dem Auftraggeber abzustimmen und diesen (und nicht die Aufsichtsbehörde) unverzüglich über das Datenleck zu informieren. Selbst wenn eine explizite vertragliche Regelung fehlt, kann sich eine Verpflichtung aus allgemeinen Grundsätzen ergeben. Zudem ist der Auftragnehmer im Interesse einer weiteren Zusammenarbeit mit dem Auftraggeber gut beraten, Datenlecks zu melden.
Ist unklar, ob das betroffene Unternehmen Auftragnehmer ist oder ob es in eigener Verantwortung handelt und lässt sich diese Frage auch nicht mit dem Auftraggeber klären, empfiehlt es sich, im Zweifelsfall, den Informationspflichten selbst nachzukommen.
Wer muss informiert werden?
Zu informieren ist grundsätzlich die zuständige Aufsichtsbehörde. Dies sind im nicht-öffentlichen Bereich, also für alle privatwirtschaftlich tätigen Unternehmen, die jeweiligen Aufsichtsbehörden der Länder. In der Regel sind dies die Landesdatenschutzbeauftragten, in Bayern allerdings ist das Bayerische Landesamt für Datenschutzaufsicht zuständig, im Saarland das Unabhängige Datenschutzzentrum Saarland, in Schleswig-Holstein das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein. Zudem sind die Betroffenen zu informieren.
Soweit unklar ist, ob die Informationspflicht greift, kann auch ein zweistufiges Vorgehen ratsam sein – zunächst wird mit der Aufsichtsbehörde abstrakt geklärt, ob eine Informationspflicht besteht. Dies kann etwa über eine Anwaltskanzlei geschehen, um die Anonymität des Unternehmens zu wahren. Wird eine solche Pflicht bejaht, kann dann in einem zweiten Schritt die Identität offengelegt werden.
Wann muss informiert werden?
Eine rechtzeitige Information ist wichtig, denn nicht nur eine unterbliebene, sondern auch eine verspätete Information kann Bußgelder nach sich ziehen. Eine Benachrichtigung der Aufsichtsbehörde sollte unverzüglich nach Bekanntwerden des Datenlecks erfolgen. Auch die Betroffenen müssen grundsätzlich unverzüglich informiert werden; es darf jedoch abgewartet werden, bis die ergriffenen Maßnahmen zur Sicherung der Daten erfolgreich durchgeführt wurden. Eine Mitteilung an die Betroffenen sollte zudem dann unterbleiben, wenn im Fall von Strafverfolgungsmaßnahmen die Ermittlungsbehörde in der Benachrichtigung der Betroffenen eine Gefährdung der Strafverfolgung sieht.
Das Gesetz nennt keine absolute Frist, innerhalb welcher informiert werden muss. Abhängig von der Schwere des Verstoßes und der Gefährdungslage erwarten die Aufsichtsbehörden in bestimmten Fällen eine Information innerhalb weniger Stunden und nicht erst nach mehreren Tagen.
Was muss mitgeteilt werden?
Zunächst muss mitgeteilt werden, welche Daten abhandengekommen sind. Gegenüber der Aufsichtsbehörde ist zudem darzulegen, welche nachteiligen Folgen mit dem Datenleck einhergehen könnten und welche Maßnahmen zur Beseitigung des Datenlecks ergriffen werden.
Der Betroffene muss darüber informiert werden, welche Maßnahmen er zudem ergreifen sollte um mögliche negative Folgen zu verringern (z.B. Sperrung von Kreditkarten, Änderung von Passwörtern). Die Mitteilung erfolgt grundsätzlich individuell, etwa per Brief oder E-Mail. Sollte dies jedoch mit einem unverhältnismäßig großen Aufwand verbunden sein, ist auch eine mindestens halbseitige Anzeige in mindestens zwei bundesweit erscheinenden Tageszeitungen möglich.
Folgen eines Verstoßes
Unterbleibt eine Mitteilung, kann dies mit einem Bußgeld von bis zur 300.000 Euro geahndet werden. Hat der Verstoß zu einem höheren wirtschaftlichen Vorteil geführt, kann das Bußgeld auch noch höher ausfallen. Liegt zudem eine Sorgfaltspflichtverletzung vor – wurde also fahrlässig oder gar vorsätzlich gehandelt – kommen Schadensersatzansprüche in Betracht. Zu beachten ist, dass § 7 BDSG die Beweislast für die Sorgfaltspflichtverletzung umkehrt – das Unternehmen muss also nachweisen, dass es sorgfältig gehandelt hat.
Wird zudem für das Unterlassen der Information Geld gezahlt oder unterbleibt die Information in Bereicherungs- oder Schädigungsabsicht, erfüllt dies einen gesetzlichen Straftatbestand, der mit einer Freiheitsstrafte von bis zu zwei Jahren geahndet werden kann (§ 44 Abs. 1 BDSG).
In der Praxis weitaus schlimmer wiegt allerdings die schlechte PR, die ein erfolgreicher Hackerangriff nach sich zieht. Allerdings haben sich in der jüngsten Zeit die Schwerpunkte der Kritik verschoben: War noch vor einiger Zeit schon ein erfolgreicher Angriff auf die IT-Infrastruktur an sich Grund genug für Kritik, hat sich inzwischen die Erkenntnis durchgesetzt, dass ein absoluter Schutz nicht möglich ist. Im Kreuzfeuer stehen nunmehr fehlende Sicherheitsmaßnahmen sowie ein unprofessioneller Umgang mit solchen Angriffen.
