Kategorien
Datenschutzrecht IT-Recht & Technologierecht IT-Sicherheit

Datenschutzrecht: Wenn Daten abhanden kommen – Informationspflicht nach §42a BDSG

Ärgerlich genug, wenn ein Unternehmen Daten „verliert“ – neben einem wahrscheinlichen Wirtschaftlichen Schaden droht auch noch ein Image-Schaden. Grund genug, darüber nachzudenken, die Angelegenheit zu „vertuschen“, so zu tun, als wäre nichts geschehen. Für die Betroffenen, deren Daten Leck geschlagen sind ein problematisches Verhalten. Der Gesetzgeber hat nicht zuletzt deswegen Ende 2009 reagiert und den §42a geschaffen, der unter Umständen eine Informationspflicht für Unternehmen vorsieht. Das Problem: Ein Verstoß gegen die Informationspflicht ist bußgeldbewährt.

Voraussetzung: Unrechtmäßige Kenntnisnahme durch Dritte
a) Es reicht, dass bestimmte Daten die das Unternehmen verarbeitet hat, unrechtmäßig Dritten bekannt wurden. Es kommt nicht darauf an, ob das Unternehmen irgendwie daran beteiligt ist oder gar schuld war an der Kenntnisnahme des Dritten. Wenn also jemand Daten gestohlen hat trifft die Regelung genauso zu, wie wenn das Unternehmen durch fahrlässiges Handeln die Kenntnisnahme durch Dritte überhaupt erst ermöglicht hat.

b) Allerdings sind nicht alle Daten betroffen, sondern nur bestimmte. Insbesondere Bankdaten, Daten zu Straftaten, Daten die einem Berufsgeheimnis unterliegen und besondere nach §3 IX BDSG. Anders ausgedrückt: Wenn einem Adresshändler Daten die sich lediglich auf Name und Anschrift beziehen abhanden kommen, wird die Informationspflicht nicht greifen. Wenn einem Krankenhaus, Rechtsanwalt oder Zahlungsdienstleister Daten abhanden kommen, hat dieser sofort an den §42a BDSG zu denken.

c) Als letzte Stufe wird man prüfen müssen, ob schwerwiegende Beeinträchtigungen für die Rechte der Betroffenen im Raum stehen. Das Unternehmen hat hier also eine Prognose zu treffen, ob tatsächlich materielle oder immaterielle Schäden drohen. Aus Vorsichtsgründen wird man hier bemüht sein müssen, keine zu enge Auslegung vorzunehmen.

Wer ist wann zu benachrichtigen?
Unverzüglich ist immer die zuständige Aufsichtsbehörde zu benachrichtigen. Daneben sind grundsätzlich die Betroffenen zu informieren, wobei hierbei eine zeitliche Verzögerung hinnehmbar ist, wenn diese Verzögerung entsteht, weil Sicherheitslücken erst noch geschlossen werden müssen.

Worüber ist zu informieren?
Die Aufsichtsbehörde ist umfänglich zu informieren: Was ist geschehen, welche Daten sind Betroffen, welche Maßnahmen wurden ergriffen? Die Betroffenen dagegen sind vor allem über die Art der Daten zu informieren, um die es geht, und wie sich diese am besten schützen können, also welche Maßnahmen sie ergreifen können, um mögliche Schäden bei sich zu mindern.

Wie ist zu informieren?
Die Aufsichtsbehörde durch ein Anschreiben, in dem die Sachelage klar gestellt wird.

Schwieriger ist es bei Betroffenen, gerade wenn es um eine hohe Anzahl von Betroffenen geht. Grundsätzlich sind die Betroffenen einzeln anzuschreiben. Wenn dies aber unverhältnismäßig wäre, was speziell der Fall ist, wenn eine besonders hohe Anzahl von Betroffenen vorliegt, kann stattdessen auch eine öffentliche Mitteilung vorgenommen werden. In diesem Fall hat man in mindestens zwei bundesweit erscheinenden Tageszeitungen halbseitige Anzeigen zu schalten. Sollte es um Daten von Angestellten gehen, wird man wohl stattdessen auch hausinterne Zeitungen („Werkszeitung“) nutzen können.

Keine Verwertung der !
Ein Hinweis zum Schluss: §42a BDSG sieht vor, dass die Daten im Rahmen der Meldungspflicht nicht für ein Strafverfahren oder ein Bussgeldverfahren gegen den Auskunftspflichtigen verwendet werden dürfen – ausgenommen, dieser stimmt der Verwertung zu. Insofern droht einerseits nicht automatisch, aus der Meldepflicht eine Selbstanzeige zu werden, schlechter Vortrag bzw. voreilige Einwilligungen können aber teuer werden.

Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Unsere Kanzlei ist spezialisiert auf Strafverteidigung, Wirtschaftsstrafrecht und IT-Recht. Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht und Fachanwalt für IT-Recht. RA JF ist Kommentator in einem StPO-Kommentar sowie Autor in zwei Fachzeitschriften im IT-Recht + Strafrecht, zudem Softwareentwickler. Seine Spezialität ist die Schnittmenge aus Strafrecht und IT, speziell bei Fragen digitaler Beweismittel & IT-Forensik.

Ihr Profi bei Strafverteidigung und im Wirtschaftsstrafrecht sowie für Unternehmen im IT-Recht inklusive Softwarerecht, Datenschutzrecht, IT-Compliance, IT-Sicherheit und IT-Vertragsrecht mit Arbeitsrecht.