Datenleck bei Hetzner: Vorsicht, Nutzer haben ggfs. Pflichten!

Heute wurde bekannt, dass es bei Hetzner-Online einen Datenschutz-Vorfall gegeben hat (dazu bei Hetzner selber und bei Heise sowie Golem.de). Hetzner macht nach meinem Eindruck derzeit im Krisenmanagement alles richtig, informiert also die betroffenen Kunden unmittelbar und vermittelt einen Eindruck von Transparenz. Allerdings kann das Problem für betroffene Kunden empfindliche Folgen haben.

Zu denken ist daran, dass ein hier betroffener Kunde selber wiederum Kundendaten verarbeitet hat. Etwa indem er in seinem Webspace einen Online-Shop mit Kundendaten platzierte oder seinen Platz nutze, um dort Webseiten von Kunden zu platzieren (bei kleineren Agenturen nicht unüblich). Das Problem ist dann, dass er als Verarbeiter personenbezogener Daten ggfs. nun selber Informationspflichtig gegenüber den durch ihn betroffenen wird nach §42a BDSG. Dabei muss bedacht werden, dass seine Kunden ggfs. nicht einmal wissen, dass sie letztendlich bei Hetzner liegen.

Wen diese Informationspflicht trifft und in welcher Form man ihr dann zu genügen hat, wird stark vom Einzelfall abhängen. Das Ganze wird auch sicherlich nicht Imagefördernd sein, aber gerade deswegen sollte das Problem von den Betroffenen von Anfang an fokussiert und professionell angegangen werden!

Hinweis: Diese Hinweispflicht nach §42a BDSG würde eigentlich nicht rein private Nutzer treffen, da das BDSG nicht im privaten/rein familiären Verkehr gilt. Aber: Das Telemediengesetz kennt eine solche Einschränkung nicht, verweist aber seinerseits ebenfalls auf die Pflicht nach §42a BDSG im §15a TMG. Damit ist erst einmal jeder Betroffen, der Daten von Dritten verarbeitet hat. Der Verstoss gegen die Hinweispflicht ist im Übrigen bußgeldbewehrt.