Datenschutz: Informationspflicht nach §42a BDGS

Ärgerlich genug, wenn ein Unternehmen Daten „verliert“ – neben einem wahrscheinlichen Wirtschaftlichen Schaden droht auch noch ein Image-Schaden. Grund genug, darüber nachzudenken, die Angelegenheit zu „vertuschen“, so zu tun, als wäre nichts geschehen. Für die Betroffenen, deren Daten Leck geschlagen sind ein problematisches Verhalten. Der Gesetzgeber hat nicht zuletzt deswegen Ende 2009 reagiert und den §42a BDSG geschaffen, der unter Umständen eine Informationspflicht für Unternehmen vorsieht. Das Problem: Ein Verstoß gegen die Informationspflicht ist bußgeldbewährt.

Voraussetzung: Unrechtmäßige Kenntnisnahme durch Dritte
a) Es reicht, dass bestimmte Daten die das Unternehmen verarbeitet hat, unrechtmäßig Dritten bekannt wurden. Es kommt nicht darauf an, ob das Unternehmen irgendwie daran beteiligt ist oder gar schuld war an der Kenntnisnahme des Dritten. Wenn also jemand Daten gestohlen hat trifft die Regelung genauso zu, wie wenn das Unternehmen durch fahrlässiges Handeln die Kenntnisnahme durch Dritte überhaupt erst ermöglicht hat.

b) Allerdings sind nicht alle Daten betroffen, sondern nur bestimmte. Insbesondere Bankdaten, Daten zu Straftaten, Daten die einem Berufsgeheimnis unterliegen und besondere personenbezogene Daten nach §3 IX BDSG. Anders ausgedrückt: Wenn einem Adresshändler Daten die sich lediglich auf Name und Anschrift beziehen abhanden kommen, wird die Informationspflicht nicht greifen. Wenn einem Krankenhaus, Rechtsanwalt oder Zahlungsdienstleister Daten abhanden kommen, hat dieser sofort an den §42a BDSG zu denken.

c) Als letzte Stufe wird man prüfen müssen, ob schwerwiegende Beeinträchtigungen für die Rechte der Betroffenen im Raum stehen. Das Unternehmen hat hier also eine Prognose zu treffen, ob tatsächlich materielle oder immaterielle Schäden drohen. Aus Vorsichtsgründen wird man hier bemüht sein müssen, keine zu enge Auslegung vorzunehmen.

Wer ist wann zu benachrichtigen?
Unverzüglich ist immer die zuständige Aufsichtsbehörde zu benachrichtigen. Daneben sind grundsätzlich die Betroffenen zu informieren, wobei hierbei eine zeitliche Verzögerung hinnehmbar ist, wenn diese Verzögerung entsteht, weil Sicherheitslücken erst noch geschlossen werden müssen.

Worüber ist zu informieren?
Die Aufsichtsbehörde ist umfänglich zu informieren: Was ist geschehen, welche Daten sind Betroffen, welche Maßnahmen wurden ergriffen? Die Betroffenen dagegen sind vor allem über die Art der Daten zu informieren, um die es geht, und wie sich diese am besten schützen können, also welche Maßnahmen sie ergreifen können, um mögliche Schäden bei sich zu mindern.

Wie ist zu informieren?
Die Aufsichtsbehörde durch ein Anschreiben, in dem die Sachelage klar gestellt wird.

Schwieriger ist es bei Betroffenen, gerade wenn es um eine hohe Anzahl von Betroffenen geht. Grundsätzlich sind die Betroffenen einzeln anzuschreiben. Wenn dies aber unverhältnismäßig wäre, was speziell der Fall ist, wenn eine besonders hohe Anzahl von Betroffenen vorliegt, kann stattdessen auch eine öffentliche Mitteilung vorgenommen werden. In diesem Fall hat man in mindestens zwei bundesweit erscheinenden Tageszeitungen halbseitige Anzeigen zu schalten. Sollte es um Daten von Angestellten gehen, wird man wohl stattdessen auch hausinterne Zeitungen („Werkszeitung“) nutzen können.

Keine Verwertung der Selbstanzeige!
Ein Hinweis zum Schluss: §42a BDSG sieht vor, dass die Daten im Rahmen der Meldungspflicht nicht für ein Strafverfahren oder ein Bussgeldverfahren gegen den Auskunftspflichtigen verwendet werden dürfen – ausgenommen, dieser stimmt der Verwertung zu. Insofern droht einerseits nicht automatisch, aus der Meldepflicht eine Selbstanzeige zu werden, schlechter Vortrag bzw. voreilige Einwilligungen können aber teuer werden.