Schluss mit der Geheimniskrämerei: Datenpannen und § 42a BDSG
Gespeichert von Dr. Michael Karger am
Telekom, AWD, Lidl, die Meldungen zu Datenpannen deutscher Unternehmen in den letzten Wochen nehmen schon fast inflationäre Ausmaße an. Schon aus Imagegründen waren die Unternehmen bisher stets bemüht, "Data Leaks" nicht an die große Glocke zu hängen. Datenschutzverstöße wurden der Öffentlichkeit zumeist nur durch interne „Whistleblower“ bekannt, die die Medien informierten. Künftig wird es noch mehr Meldungen zu Datenpannen geben. Dafür sorgt der neue § 42a BDSG, den die meisten Unternehmen noch nicht auf ihrer Liste „heikle Datenschutzthemen“ haben dürften.
Seit Anfang September gilt nun für Deutschland, was in den USA bzgl. „Data Breach“ schon seit Jahren gang und gäbe ist (siehe hierzu den Bericht des Kollegen Dr. Axel Spies in MMR 2008, XIX): Sofern besonders sensible Daten – u.a. Daten zu Bank- und Kreditkartenkonten - Dritten unrechtmäßig zur Kenntnis gelangt sind, muss das Unternehmen die Aufsichtsbehörde und die Betroffenen benachrichtigen und zwar unverzüglich. Bei Verstoß können Bußgelder von bis zu 300.000 Euro oder mehr verhängt werden. Im Ernstfall ist also Eile geboten, Anlass genug, sich die Bestimmung vielleicht einmal vorab genauer anzusehen und nicht erst, wenn das OWi-Verfahren schon läuft.
Für die betroffenen Unternehmen wirft die Vorschrift erhebliche Probleme auf. Zunächst müssen sie feststellen, ob die Daten Dritten unrechtmäßig zur Kenntnis gelangt sind und einschätzen, ob schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Dann müssen sie zu zahlreichen Punkten informieren, u.a. zur Art der unrechtmäßigen Kenntniserlangung.
Gibt es eine Vielzahl von Betroffenen und wäre die individuelle Benachrichtigung jedes Einzelnen unverhältnismäßig, so ist die Öffentlichkeit zu informieren: Und zwar im Regelfall durch Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen, die jeweils mindestens eine halbe Seite umfassen. Ob hierdurch das Annoncenvolumen bei FAZ, SZ und anderen Printmedien wieder Auftrieb erhalten wird?
Aber läuft diese Mitteilungspflicht der Unternehmen nicht auf eine „Selbstbezichtigung“ hinaus? Eindeutig ja, denn je nach Inhalt der Information werden ja Ordnungswidrigkeiten- oder auch Straftatbestände dokumentiert. Der Gesetzgeber hat das berücksichtigt und in § 42a BDSG ein Verwendungsverbot vorgesehen. Wozu neulich eine auf Strafrecht spezialisierte Kollegin meinte, man müsse einmal prüfen, ob in heiklen Fragen nicht ganz schnell und ganz umfangreich informiert werden solle, dann sei man ja sofort alle strafrechtlichen Probleme los. Allerdings sagt § 42a BDSG nichts zu einem Verwendungsverbot im Zivilprozess, so dass zumindest unter zivilrechtlichen Gesichtpunkten Konsequenzen nicht ausgeschlossen sind.
Im Übrigen gilt die Vorschrift nur für Privatunternehmen und öffentlich-rechtliche Wettbewerbsunternehmen. Halbseitige Zeitungsanzeigen wegen Datenpannen in der öffentlichen Verwaltung wird man deshalb bis auf weiteres vergeblich suchen.