Informationspflicht bei Datenpannen: Datenschützer zieht Bilanz
Der Bundesdatenschutzbeauftragte hat in einem aktuellen Bericht eine positive Bilanz zur gesetzlichen Informationspflicht bei Datenpannen gezogen.
Zum 1. September 2009 hatte der deutsche Gesetzgeber nach amerikanischem Vorbild eine Pflicht zur Information bei Datenpannen eingeführt. Nach § 42 a BDSG (Bundesdatenschutzgesetz) sind Unternehmen verpflichtet, den Betroffenen zu informieren, wenn Gesundheitsdaten, Daten zu Bank- und Kreditkartenkonten oder andere sensible Daten an unberechtigte Dritte gelangt sind und dem Betroffenen schwerwiegende Beeinträchtigungen drohen. Das Unternehmen muss sämtlichen Betroffenen die Einzelheiten zu dem Datenleck, beispielsweise Verlust eines Notebooks oder USB-Sticks, Ausspähen oder Hacking durch Dritte, mitteilen und Empfehlungen geben, wie sich nachteilige Folgen mindern lassen. Außerdem muss das Unternehmen die zuständige Datenschutzbehörde benachrichtigen und hierbei die möglichen Folgen des Datenlecks sowie die eingeleiteten Maßnahmen darlegen.
Wenn die Benachrichtigung der Betroffenen, vor allem wegen der Vielzahl der Fälle, unverhältnismäßig wäre, muss das Unternehmen die Öffentlichkeit informieren, in erster Linie durch Zeitungsanzeigen.
Verstößt das Unternehmen gegen die Benachrichtigungspflicht, so droht ein Bußgeld von bis zu 300.000,00 EUR.
Der Bundesdatenschutzbeauftragte zieht zwei Jahre nach Inkrafttreten der Regelung eine überwiegend positive Bilanz. Nach einer bundesweiten Erhebung der Datenschutzbehörden kam es bis Februar 2011 zu insgesamt 90 Meldungen, überwiegend wegen Diebstahls oder Verlusts von Notebooks und USB-Sticks sowie nach Fehlversand von E-Mails und Briefen. Einige Fälle betrafen das Ausspähen von Daten auf Kredit- oder Bankkarten (Skimming) und den Einbruch in Computersysteme durch Hacking.
Hierbei geht der Datenschutzbeauftragte aber von einer hohen Dunkelziffer nicht gemeldeter Vorfälle aus und kritisiert, bei eingetretenen Datenpannen sei die Kommunikation von Unternehmen gegenüber Öffentlichkeit und Datenschutzbehörden häufig noch verbesserungsbedürftig.
Die Vermutung hinsichtlich der Dunkelziffer ist vermutlich zutreffend. Das beruht einmal darauf, dass die gesetzliche Informationspflicht in manchen Unternehmen noch nicht ausreichend bekannt ist, gleiches gilt für die hohen Bußgelddrohungen. Nach dem Auftreten eines Datenlecks stehen meist auch andere Maßnahmen im Vordergrund, wie Ursachenermittlung und Sicherungsmaßnahmen. Außerdem ist der Tatbestand des § 42 a BDSG kompliziert, die Frage nach dem Bestehen einer Informationspflicht, nach dem richtigen Zeitpunkt und nach dem Inhalt der Benachrichtigung kann im Einzelfall rechtlich schwierig zu beurteilen sein.
Für Unternehmen ist es wichtig, Compliance-Anforderungen zu Datenschutz und Datensicherheit zu erfüllen, damit Datenpannen vermieden werden. Kommt es allerdings zu einem Datenleck oder bestehen Anhaltspunkte hierfür, muss das Unternehmen sofort handeln, um die Vorfälle aufzuklären und Gegenmaßnahmen zu ergreifen. Um Schaden vom Unternehmen zu wenden, ist es außerdem wichtig, sofort nach mit der rechtlichen Prüfung zu beginnen, ob eine Informationspflicht besteht, wann die Informationen zu erteilen sind und welchen Inhalt sie haben müssen.
Arnd Böken, Rechtsanwalt und Notar