Schluss mit der Geheimniskrämerei: Datenpannen und § 42a BDSG

von Dr. Michael Karger, veröffentlicht am 26.10.2009

Telekom, AWD, Lidl, die Meldungen zu Datenpannen deutscher Unternehmen in den letzten Wochen nehmen schon fast inflationäre Ausmaße an. Schon aus Imagegründen waren die Unternehmen bisher stets bemüht, "Data Leaks" nicht an die große Glocke zu hängen. Datenschutzverstöße wurden der Öffentlichkeit zumeist nur durch interne „Whistleblower“ bekannt, die die Medien informierten. Künftig wird es noch mehr Meldungen zu Datenpannen geben. Dafür sorgt der neue § 42a BDSG, den die meisten Unternehmen noch nicht auf ihrer Liste „heikle Datenschutzthemen“ haben dürften.

Seit Anfang September gilt nun für Deutschland, was in den USA bzgl. „Data Breach“ schon seit Jahren gang und gäbe ist (siehe hierzu den Bericht des Kollegen Dr. Axel Spies in MMR 2008, XIX): Sofern besonders sensible Daten – u.a. Daten zu Bank- und Kreditkartenkonten - Dritten unrechtmäßig zur Kenntnis gelangt sind, muss das Unternehmen die Aufsichtsbehörde und die Betroffenen benachrichtigen und zwar unverzüglich. Bei Verstoß können Bußgelder von bis zu 300.000 Euro oder mehr verhängt werden. Im Ernstfall ist also Eile geboten, Anlass genug, sich die Bestimmung vielleicht einmal vorab genauer anzusehen und nicht erst, wenn das OWi-Verfahren schon läuft.

Für die betroffenen Unternehmen wirft die Vorschrift erhebliche Probleme auf. Zunächst müssen sie feststellen, ob die Daten Dritten unrechtmäßig zur Kenntnis gelangt sind und einschätzen, ob schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Dann müssen sie zu zahlreichen Punkten informieren, u.a. zur Art der unrechtmäßigen Kenntniserlangung.

Gibt es eine Vielzahl von Betroffenen und wäre die individuelle Benachrichtigung jedes Einzelnen unverhältnismäßig, so ist die Öffentlichkeit zu informieren: Und zwar im Regelfall durch Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen, die jeweils mindestens eine halbe Seite umfassen. Ob hierdurch das Annoncenvolumen bei FAZ, SZ und anderen Printmedien wieder Auftrieb erhalten wird? 

Aber läuft diese Mitteilungspflicht der Unternehmen nicht auf eine „Selbstbezichtigung“ hinaus? Eindeutig ja, denn je nach Inhalt der Information werden ja Ordnungswidrigkeiten- oder auch Straftatbestände dokumentiert. Der Gesetzgeber hat das berücksichtigt und in § 42a BDSG ein Verwendungsverbot vorgesehen. Wozu neulich eine auf Strafrecht spezialisierte Kollegin meinte, man müsse einmal prüfen, ob in heiklen Fragen nicht ganz schnell und ganz umfangreich informiert werden solle, dann sei man ja sofort alle strafrechtlichen Probleme los. Allerdings sagt § 42a BDSG nichts zu einem Verwendungsverbot im Zivilprozess, so dass zumindest unter zivilrechtlichen Gesichtpunkten Konsequenzen nicht ausgeschlossen sind.

Im Übrigen gilt die Vorschrift nur für Privatunternehmen und öffentlich-rechtliche Wettbewerbsunternehmen. Halbseitige Zeitungsanzeigen wegen Datenpannen in der öffentlichen Verwaltung wird man deshalb bis auf weiteres vergeblich suchen.

 

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

4 Kommentare

Kommentare als Feed abonnieren

Sehr auf den Punkt gebracht, Herr Kollege Karger. Danke. Bei uns hier in den USA führen die Data Breach Notifications zu zahlreichen juristischen Fragen, zumal es sich um eine Flickenteppich von Rechtsregeln der Einzelstaaten handelt. Wer ist zu informieren? Und wann? Welche Kontrollen sind erforderlich um Data Breaches zu verhindern?

Gerade jetzt, wo das "Cloud Computing" immer mehr hochkommt (und man häufig gar nicht genau weiß, wo sich die Daten befinden), soltlen die Unternehmen diesem Thema mehr Aufmerksamkeit schenken.

Mehr hierzu: : http://rsw.beck.de/rsw/shop/default.asp?sessionid=E8EA55A4702A4613B572923516331395&docid=281111&docClass=NEWS&site=MMR&from=mmr.10

Grüsse aus Washington

Lieber Kollege Dr. Spies, besten Dank !

Immerhin haben wir in Deutschland ja den Vorteil, dass es beim Datenschutz diese Rechtszersplitterung so nicht gibt. Ich kann mir denken, dass deutsche bzw. multinationale Firmen bei einer internationalen Datenpanne vor die fast unlösbare Aufgabe gestellt werden, wen sie wo wann auf welche Weise informieren müssen, insbesondere auch in den USA. Und das echte Cloud-Computing ist datenschutzrechtlich m.E. fast gar nicht mehr in den Griff zu bekommen.

Hier im Übrigen gleich der nächste deutsche Fall, bei dem es erneut um Kontodaten geht: Die Stiftung Warentest rügt die Praxis der Postbank

Grüsse aus München

Oha...

- schwerwiegende Beeinträchtigungen
- schutzwürdigen Interessen

 

Da bekommen die Gerichte etwas zu deuten.

 

Grüße

ALOA

0

Kommentar hinzufügen

/