Sollten Unternehmen feststellen, dass die als besonders schutzwürdig definierten Daten - hierunter fallen u.a. Gesundheitsdaten oder aber Daten zu Bank- oder Kreditkartenkonten - unrechtmäßig an Dritte übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, z.B. durch Diebstahl/Verlust eines USB-Sticks oder einen Angriff auf die eingesetzten Systeme, müssen die Datenschutz-Aufsichtsbehörden und die betroffenen Personen unverzüglich benachrichtigt werden. Diese Verpflichtung besteht für Unternehmen als nichtöffentliche Stellen und die ihnen gleichgestellten öffentlichen Unternehmen. Informationspflichten können sich zudem auch aus weiteren Vorschriften wie dem TKG, TMG oder dem SGB ergeben.
Unrechtmäßig ist die Übermittlung oder sonstige Kenntniserlangung dann, wenn die betroffenen Personen nicht nachweislich zugestimmt haben oder kein gesetzlicher Erlaubnistatbestand zur Rechtmäßigkeit führt. Das Vorliegen einer schwerwiegenden Beeinträchtigung für die Rechte oder schutzwürdigen Interessen der betroffenen Personen ist immer eine Einzelfallfrage. Jedoch wird man sagen können, dass die unrechtmäßige sonstige Kenntniserlangung z.B. von Bank- oder Kreditkartenkonten regelmäßig schwerwiegende Beeinträchtigungen für die betroffenen Personen nach sich ziehen. Diese Daten können u.a. zur Durchführung betrügerischer Handlungen verwendet werden.
Bei Vorliegen tatsächlicher Anhaltspunkte - hierfür ist eine gewisse Wahrscheinlichkeit erforderlich - für eine Datenpanne im Unternehmen, besteht die Verpflichtung zur unverzüglichen Benachrichtigung der Datenschutz-Aufsichtsbehörden und der betroffenen Personen. Gegenüber betroffenen Personen ist eine Verzögerung dann möglich, wenn der Offenlegung noch zu schließende Sicherheitslücken oder Interessen der Strafverfolgung entgegenstehen. Die Benachrichtigung der betroffenen Personen muss zudem Ausführungen zu der Art der Verletzung und Empfehlungen zur Schadensminderung enthalten. Die Datenschutz-Aufsichtsbehörde muss darüber hinaus über die vom Unternehmen ergriffenen Maßnahmen unterrichtet werden.
Sollte die Benachrichtigung der betroffenen Personen einen unverhältnismäßigen Aufwand erfordern - zu denken wäre hier u. a. an eine Vielzahl von zu unterrichtenden betroffenen Personen -, kann ersatzweise auch eine Information der Öffentlichkeit erfolgen. Gefordert wird eine halbseitige Anzeige in mindestens zwei bundesweit erscheinenden Tageszeitungen oder eine gleich geeignete Maßnahme. Dies ist jedoch stets vom Einzelfall abhängig.
Empfehlung für die Praxis:
Zur Vermeidung von Datenpannen mit anschließender Informationspflicht nach §42a BDSG - und eines damit etwaig einhergehenden Imageschadens - sollten Unternehmen eine datenschutzrechtliche Risikoanalyse durchführen lassen und im Anschluss daran geeignete technische und organisatorischen Maßnahmen treffen. Zu den technischen Maßnahmen zählt etwa die Verschlüsselung von Daten. Organisatorisch können hingegen Richtlinien zum Umgang mit IT-Arbeitsplätzen erheblich zu einer verbesserten Datensicherheit beitragen.
Autor:
Rechtsanwalt und zertifizierter
externer Datenschutzbeauftragter
Sebastian Wypior
wypior@buse.de
