Eine Informationspflicht besteht, wenn die verantwortliche Stelle festgestellt hat, dass bei ihr gespeicherte Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zu Kenntnis gelangt sind. Die Formulierung ist dabei in allen "Data Breach Notification"-Vorschriften identisch.
Die "Übermittlung" stellt dabei lediglich einen (beispielhaften) Spezialfall gegenüber dem Auffangtatbestand der Kenntniserlangung auf sonstige Weise dar. Eine Übermittlung liegt vor, wenn die Daten verarbeitende Stelle selbst aktiv und zielgerichtet Daten an Dritte weitergibt. Der Auffangtatbestand der Kenntniserlangung auf sonstige Weise stellt klar, dass es auf ein aktives Handeln der verantwortlichen Stelle im Ergebnis nicht ankommt und damit auch Fälle des "Datendiebstahls" durch Hacker und Ähnliches erfasst werden.
Wann die Kenntniserlangung unrechtmäßig ist, beurteilt sich nach dem Grundsatz des § 4 Abs. 1 BDSG. Danach ist die Kenntniserlangung nicht rechtmäßig, wenn eine Rechtsvorschrift sie nicht erlaubt und der Betroffene auch nicht eingewilligt hat. Es ist also zu prüfen, ob ein gesetzlicher Erlaubnistatbestand greift oder eine Einwilligung vorliegt.[1] Je nach Art der Datenpanne kann sich eine solche Prüfung aber auch erübrigen, wenn das Fehlen einer Erlaubnis offensichtlich ist.
Mögliche Fälle einer unrechtmäßigen Kenntniserlangung von Daten
- Hacking von Datenbanken
- unsachgemäße Verschrottung von Altgeräten (z. B. Computern, Festplatten etc.)
- datenschutzwidrige Entsorgung von Datenträgern
- Verlust oder Diebstahl eines Notebooks, Tablet-PCs, USB-Sticks, einer Daten-CD-ROM, eines PDA oder eines anderen mobilen Speichergerätes
- beabsichtigte, aber datenschutzrechtlich unzulässige Datenübermittlungen wie heimlicher Weiterverkauf von Daten durch Mitarbeiter
- nicht autorisierte Datenweitergabe durch Mitarbeiter
- Fehlübermittlung von Daten an falsche Empfänger (z. B. auch schon fehlgeleitete E-Mail)
Neben dem reinen Datenverlust muss es auch zu einer Kenntniserlangung durch einen Dritten gekommen sein. Dies ist nicht immer automatisch der Fall.
Kenntniserlangung bei verlorenem Laptop?
So mag man sich die Frage stellen, ob der Umstand, dass ein Mitarbeiter ein Laptop mit personenbezogenen Kundendaten etwa im Zug vergessen hat, per se einen informationspflichtigen Tatbestand erfüllt. Immerhin sind personenbezogene Daten abhanden gekommen. Das reine "Stehenlassen" des Laptops bedeutet aber nicht zwangsläufig, dass ein Dritter die darauf befindlichen Daten auch tatsächlich zur Kenntnis genommen hat. Dies wäre aber notwendig, damit die Informationspflicht greift. Ist das Laptop ausgeschaltet und die Festplatte hinreichend verschlüsselt, kann eine Informationspflicht deshalb evtl. generell entfallen, weil eine unbefugte Kenntnisnahme durch einen Dritten praktisch ausgeschlossen ist.
Für die Annahme einer Kenntniserlangung genügen tatsächliche Anhaltspunkte. Nicht erforderlich ist, dass eine Kenntnisnahme tatsächlich feststeht. Solche Anhaltspunkte können aus dem eigenen Sicherheitsmanagement stammen, aber auch von Strafverfolgungsorganen, Dritten etc.
Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen