Zusammenfassung

 
Begriff

Im Fall einer größeren Datenpanne müssen die Betroffenen und die Datenschutz-Aufsichtsbehörde nach § 42a BDSG informiert werden. Der Paragraf wurde nach den diversen Datenschutzskandalen, zum Beispiel bei Deutscher Bahn und Deutscher Telekom, im Rahmen der Datenschutz-Novellierung im Jahr 2009 neu eingefügt und orientiert sich an US-amerikanischen Vorschriften.

 
Gesetze, Vorschriften und Rechtsprechung

Die Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten ist in den Paragrafen § 42a BDSG, § 15a TMG und § 93 Abs. 3 TKG geregelt.

Wann liegt eine Pflicht zur Information vor?

Eine verantwortliche Stelle (Unternehmen oder Bundesbehörde) muss immer dann über eine Datenpanne informieren, wenn alle der folgenden Voraussetzungen vorliegen:

  1. Die verantwortliche Stelle erkennt, dass ihr sensible Daten "abhanden" gekommen sind. Das heißt, dass entweder ein Dritter unrechtmäßig Kenntnis von den Daten erlangt hat (z. B. ein "Hacker") oder dass die Stelle selbst die Daten unrechtmäßig an einen Dritten übermittelt hat.
  2. Es muss sich dabei um personenbezogene Daten handeln, die aus einer der folgenden Kategorien stammen:

    • Besondere Arten von personenbezogenen Daten (etwa Gesundheitsdaten oder Religions-/Gewerkschaftszugehörigkeit)
    • Daten, die einem Berufsgeheimnis unterliegen (z. B. von einem Arzt oder Rechtsanwalt)
    • Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht darauf beziehen
    • Daten zu Bank- oder Kreditkartenkonten
  3. Für den Betroffenen müssen aufgrund der Panne schwerwiegende Beeinträchtigungen drohen, etwa finanzielle Schäden bei Kreditkarteninformationen oder die Gefahr eines Identitätsdiebstahls.

Adressaten und Umfang der Information

Wenn eine Informationspflicht vorliegt, sind folgende Stellen zu benachrichtigen:

  • die zuständige Aufsichtsbehörde
  • die Betroffenen (also diejenigen, um deren Daten es geht)

Die Aufsichtsbehörde muss unverzüglich, das heißt ohne schuldhaftes Zögern, informiert werden. Ihr ist zudem mitzuteilen, welche Folgen die Datenpanne nach sich zieht und welche Maßnahmen ergriffen werden.

Die Betroffenen sind zu informieren, sobald angemessene Sicherungsmaßnahmen ergriffen worden und Strafverfolgungsmaßnahmen nicht mehr gefährdet sind. Sie sind auch darüber aufzuklären, welcher Art die Datenpanne war und mit welchen Maßnahmen sie selbst negative Folgen mindern können.

Falls die persönliche Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordert, insbesondere aufgrund der Vielzahl der betroffenen Fälle, muss stattdessen die Öffentlichkeit informiert werden. Dies kann durch mindestens halbseitige Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen erfolgen oder durch eine andere gleich geeignete Maßnahmen (etwa durch eine Verbreitung in Radio, TV oder Internet).

 
Hinweis

Ordnungwidrigkeiten- oder Strafverfahren

Falls es aufgrund der Datenpanne zu einem Ordnungswidrigkeiten- oder Strafverfahren gegen den Informationsverpflichteten kommt, darf ihm der Inhalt seiner Benachrichtigung nicht zur Last gelegt werden. Dadurch soll er seiner Informationspflicht umfassend und ohne Druck nachkommen können.

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?


Meistgelesene beiträge