Nicht jede "Datenpanne" führt unmittelbar zu einer Informationspflicht. Eine Pflicht zur Information besteht nur beim Vorliegen bestimmter, gesetzlich normierter Voraussetzungen.
3.1 Adressaten der Regelung
Bezüglich der Adressaten der Informationspflicht ist zu differenzieren. Während § 42a BDSG sich an nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 BDSG und öffentlich-rechtliche Wettbewerbsunternehmen richtet (§ 27 Abs. 1 Satz 1 Nr. 2 BDSG), ist weder in § 15 TMG noch in § 93 Abs. 3 TKG eine derartige Eingrenzung vorgesehen[1]. Die Informationspflicht nach diesen Gesetzen trifft alle Diensteanbieter. Dieser Begriff ist etwa in § 2 Nr. 1 TMG gesetzlich definiert als jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt[2]. Anerkanntermaßen unterfallen diesem Begriff des Diensteanbieters auch öffentlich-rechtliche Körperschaften und andere rechtsfähige öffentlich-rechtliche Einrichtungen[3], etwa Universitäten[4] und Fachhochschulen[5]. Ferner ist in § 1 Abs. 1 Satz 2 TMG klargestellt, dass das TMG für alle Anbieter "einschließlich der öffentlichen Stellen" gilt.
Auch Behörden und andere öffentliche Stellen unterliegen der Informationspflicht
Anders als bei § 42a BDSG sind als Anbieter von Telemedien (§ 2 Satz 1 Nr. 1 TMG) oder Telekommunikationsdiensten (§ 3 Nr. 6 TKG) auch alle öffentlichen Stellen der Informationspflicht unterworfen. Hierzu zählen alle Bundes- und Landesbehörden und sonstigen öffentlichen Stellen.
3.2 Sonderfall Auftragsdatenverarbeitung, § 11 BDSG
Einen Sonderfall stellt die Auftragsdatenverarbeitung nach § 11 BDSG dar. Unternehmen, die Daten für andere im Auftrag verarbeiten, unterliegen nicht der Pflicht zur "Data Breach Notification". Dies ergibt sich bereits aus § 11 Abs. 1 Satz 1 BDSG, wonach der Auftraggeber selbst für die Einhaltung der Datenschutzvorschriften verantwortlich bleibt,[1] und lässt sich auch aus § 11 Abs. 4 BDSG ableiten, der die für den Auftragnehmer geltenden Datenschutzvorschriften explizit benennt und die Vorschriften zu Informationspflichten bei Datenpannen eben nicht für anwendbar erklärt.[2]
Vertragliche Vorkehrungen gegenüber Auftragsdatenverarbeitern
Dies hat zur Folge, dass eine Datenpanne im Rahmen der Auftragsdatenverarbeitung nicht zu einer Informationspflicht des Auftragsdatenverarbeiters selbst führen kann. Kommt es zu einem solchen Vorfall, ist und bleibt der Auftraggeber auch insoweit voll verantwortlich. Die verantwortliche Stelle muss deshalb Sorge dafür tragen, ihrerseits rechtzeitig von ihrem Auftragsverarbeiter über datenschutzrechtlich relevante Vorfälle informiert zu werden. Außerdem ist der Auftraggeber bei der Ergreifung von Maßnahmen zur Eindämmung der Auswirkungen auf die Unterstützung des Auftragnehmers angewiesen. Er muss deshalb im Auftragsdatenverarbeitungsvertrag hierfür bereits hinreichend Vorsorge treffen. Lesen Sie dazu insbesondere die Empfehlungen in Kapitel 4.1.2.
3.3 Erfasste Datenarten
Auch bezüglich der von der Informationspflicht erfassten Datenarten ist eine Differenzierung nach den genannten Vorschriften notwendig.
3.3.1 Von § 42a BDSG erfasste Datenarten
Die Informationspflicht nach § 42a BDSG ist beschränkt auf eine unrechtmäßige Kenntniserlangung solcher Daten, die per se eine gewisse Sensibilität aufweisen. Die Vorschrift listet die erfassten Datenarten abschließend auf. Hierzu zählen:
- besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG
- personenbezogene Daten, die einem Berufsgeheimnis unterliegen (§ 42a Satz 1 Nr. 2 BDSG), wie z. B. Patienten- oder Mandantendaten
- personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten bzw. den Verdacht solcher beziehen, § 42a Satz 1 Nr. 3 BDSG und
- personenbezogene Daten zu Bank- oder Kreditkartenkonten, § 42a Satz 1 Nr. 4 BDSG.
3.3.2 Von § 15a TMG und § 93 Abs. 3 TKG erfasste Datenarten
§ 15 a TMG hingegen erfasst unterschiedslos alle Bestands- und Nutzungsdaten (§§ 14 und 15 TMG). Selbiges gilt bei § 93 Abs. 3 TKG, der die Informationspflicht auf Verluste von Bestands- und Verkehrsdaten erstreckt.
Weiterer Anwendungsbereich der Informationspflicht bei Telemedien- und Telekommunikationsdiensten
Beachtenswert ist deshalb der im Vergleich zu § 42a BDSG weite Anwendungsbereich der Informationspflicht nach TMG und TKG: Aufgrund der Einbeziehung von Bestands- und Nutzungsdaten im Sinne des TMG (wozu nach streitiger Ansicht auch reine IP-Adressen gehören) hält wohl jedes Unternehmen, welches einen Internetauftritt betreibt, entsprechende Daten vor und kann damit potenziell von der Informationspflicht betroffen sein.
3.4 Unrechtmäßige Übermittlung oder Kenntniserlangung
Eine Information...
Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen