Weiterhin müssen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Solche drohenden schwerwiegenden Beeinträchtigungen bestimmen sich anhand objektiver Kriterien nach Art und Umfang der betroffenen Daten und den potenziellen Auswirkungen der unrechtmäßigen Kenntniserlangung auf die Betroffenen. Der Gesetzgeber nennt in der Gesetzesbegründung hierzu als Beispiel materielle Schäden bei Kreditkarteninformationen und soziale Nachteile einschließlich Identitätsbetrugs.
Schwerwiegende Beeinträchtigung bereits aufgrund der Sensibilität der Datenarten
Allerdings besitzen die meisten der in § 42a BDSG genannten Daten per se eine besondere Sensibilität. Deshalb dürfte die Schwelle für die Annahme einer "schwerwiegenden Beeinträchtigung" nicht allzu hoch sein, bzw. sogar im Regelfall vorliegen, wenn Dritte unrechtmäßige Kenntnis der gelisteten Datenarten erhalten haben.
Anders kann dies bei reinen Bestandsdaten nach TMG oder TKG sein[1]. Während die in § 42a BDSG genannten, eine Informationspflicht auslösenden Datenarten per se eine besondere Sensibilität aufweisen, ist dies gerade bei Bestandsdaten nach dem TMG und dem TKG nicht der Fall. Vor allem reine Bestandsdaten wie etwa der Name oder die Anschrift eines Nutzers weisen eine erheblich geringere Sensibilität auf als die von § 42a BDSG erfassten Datenarten.
Ablehnung schwerwiegender Beeinträchtigung bei reinen Bestandsdaten
Im Anwendungsbereich von § 15a TMG und § 93 Abs. 3 TKG dürfte deshalb in Bezug auf die Art der betroffenen Daten ein größerer Spielraum bestehen, eine Informationspflicht im Ergebnis mangels einer schwerwiegenden Beeinträchtigung für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers abzulehnen.
Durchzuführen ist in jedem Fall eine Gefahrenprognose unter Einbeziehung der gefährdeten Rechte oder Rechtsgüter und der Schadenswahrscheinlichkeit.
Praxis der Datenschutzbehörden
In Zweifelsfällen sollte angesichts der drohenden Sanktionen im Fall einer Verletzung der Informationspflicht eine schwerwiegende Beeinträchtigung bejaht werden. Dies entspricht auch der Praxis der Datenschutzbehörden, die zunächst grundsätzlich annehmen, dass eine schwerwiegende Beeinträchtigung droht und erst in einem zweiten Prüfungsschritt eine Einzelfallbewertung vornehmen, nach der es zu einer anderen Bewertung kommen kann.
Im Hinblick auf die Bewertung konkreter Fälle und die Beurteilung, ob eine Informationspflicht gegeben ist, stehen die Datenschutzbehörden den Daten verarbeitenden Stellen auch beratend zur Seite. Es sollte deshalb durchaus erwogen werden, vor einer Information der Betroffenen bzw. der Öffentlichkeit eine Abstimmung mit der jeweils zuständigen Datenschutzaufsichtsbehörde zu suchen.
Ausgeschlossen sein kann eine schwerwiegende Beeinträchtigung, wenn vor allem technische Schutzmaßnahmen in Bezug auf die Daten ergriffen worden sind, die eine Kenntnisname de facto unmöglich machen.
Ausschluss der Informationspflicht durch Datenverschlüsselung
Ein generelles Ausscheiden der Informationspflicht wird insbesondere für den Fall einer hinreichend sicheren Verschlüsselung der Daten diskutiert. Dies entspricht auch dem Ansatz des EU-Richtliniengebers: Nach dem Art. 4 Abs. 3 RL 2002/58/EG braucht der Anbieter die betroffenen Teilnehmer oder Personen nicht über eine Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn er zur Zufriedenheit der zuständigen Behörde nachgewiesen hat, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet wurden. Bei solchen technischen Schutzmaßnahmen handelt es sich um Verfahren, die die Daten für alle Personen verschlüsseln, die nicht befugt sind, Zugang zu den Daten zu haben.
Ein Schwellenwert oder eine Spürbarkeitsgrenze findet sich in den gesetzlichen Vorschriften zur Informationspflicht bei Datenpannen nicht. Damit sind prinzipiell alle (Einzel-)fälle einer unrechtmäßigen Kenntniserlangung von Daten mitteilungspflichtig. Eine gewisse Einschränkung kann sich freilich aus der Schadensprognose ergeben: § 42a BDSG stellt im Hinblick auf die gesetzlich vorausgesetzte schwerwiegende Beeinträchtigung nämlich auf die Rechte oder schutzwürdigen Interessen sämtlicher von der Datenpanne Betroffener ab. Der Vorschrift unterliegt insoweit die Annahme, dass eine Datenschutzverletzung mehrere Personen betrifft.
Ausschluss der Informationspflichten bei Einzelfällen
Daraus kann durchaus gefolgert werden, dass Datenpannen, die sich nur auf einzelne Betroffene beziehen, nicht informationspflichtig sind. Dies entspricht – soweit bekannt – auch der aufsichtsbehördlichen Sichtweise. Danach sollen Einzelfälle einer unrechtmäßigen Kenntniserlangung nicht von den Regelungen zur "Data Breach Notification" erfasst sein, da es Sinn und Zweck dieser Regelungen sei, strukturelle Fehler ans Licht zu bringen (wobei in solchen Fällen eine Informati...
Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen