Management von Datenpannen / 4 Inhalt und Umfang der Informationspflicht

Steht fest, dass eine Informationspflicht gegeben ist, hat die verantwortliche Stelle unverzüglich der zuständigen Aufsichtsbehörde und den Betroffenen die Kompromittierung der personenbezogenen Daten mitzuteilen, wie im Einzelnen in § 42a S. 2 – 5 BDSG geregelt.

4.1 Adressaten der Information

Adressaten der Information sind einerseits die zuständigen Aufsichtsbehörden und andererseits die Betroffenen. Hinsichtlich der Zuständigkeiten der Aufsichtsbehörden ergeben sich keine Besonderheiten.

4.2 Zeitpunkt der Information

Die Benachrichtigung von Aufsichtsbehörden und Betroffenen muss jeweils unverzüglich erfolgen. "Unverzüglich" bedeutet dabei ohne schuldhaftes Zögern (§ 121 BGB).

4.2.1 Benachrichtigung der Behörde

Die Aufsichtsbehörde ist immer zuerst, also vor dem Betroffenen zu benachrichtigen. Die zur Information verpflichtete Stelle hat genug Zeit, die Datenpanne zu prüfen und zu überlegen, was genau der Aufsichtsbehörde mitzuteilen ist. Wie lang der Zeitraum ist, lässt sich pauschal nicht sagen. Anerkannt ist jedoch, dass die Einholung von Rechtsrat in jedem Fall möglich sein muss.^[1] Aufgrund der drohenden Bußgelder von bis zu 300.000 EUR (§ 43 Abs. 2 Nr. 7, Abs. 3 BDSG) bei unrichtiger oder unvollständiger Mitteilung dürfte dies auch regelmäßig geboten sein.^[2] Nach § 38 Abs. 1 S. 2 BDSG sind auch die Aufsichtsbehörden zur Beratung und Unterstützung des Benachrichtigungspflichtigen verpflichtet. Im Zweifel ist eine möglichst frühe Einbindung der Aufsichtsbehörden anzuraten^[3], was auch das Risiko etwaiger Bußgelder für fehlerhafte Mitteilungen über Datenpannen verringert.

[1] Gabel, BB 2009, S. 2045; Karger, ITRB 2010, S. 161.

[2] Karger, ITRB 2010, S. 161.

[3] Karger, ITRB 2010, S. 161.

4.2.2 Benachrichtigung der Betroffenen

Neben der Aufsichtsbehörde sind die von der Datenpanne Betroffenen zu informieren. Auch dies hat unverzüglich zu geschehen. Insoweit gelten jedoch zwei Einschränkungen: Gemäß § 42a S. 2 BDSG verlängert sich die Benachrichtigungsfrist um den Zeitraum, (1) der nötig ist, um unverzüglich angemessene Maßnahmen zur Sicherung der Daten zu ergreifen, und (2) der abgewartet werden muss, damit eine etwaige Strafverfolgung nicht mehr gefährdet ist (sogenannte "Responsible Disclosure").^[1]

Praxis-Tipp

Angemessene Datensicherungsmaßnahmen

Die von der Datenpanne betroffene Stelle hat also auf jeden Fall die Möglichkeit, Datensicherungsmaßnahmen zu ergreifen, bevor sie die Betroffene informiert, ohne dass sie gegen das Gebot der unverzüglichen Benachrichtigung verstößt. So kann verhindert werden, dass (z. B. in Fällen des "Datenklaus" durch Hacker) etwaige Sicherheitslücken oder Schwachstellen öffentlich werden und durch andere Personen ausgenutzt werden.^[2]

Kein schuldhaftes Zögern liegt damit vor, wenn eine Analyse zusammen mit dem Datenschutzbeauftragten und einem gegebenenfalls zugezogenen Rechtsbeistand stattfinden, an die sich konkrete Maßnahmen organisatorischer und technischer Art anschließen um weitere Datenschutzverletzungen zu verhindern.^[3]

Ebenso kann eine Benachrichtigung der Betroffenen erst zu einem späteren Zeitpunkt geboten und auch zulässig sein, wenn dadurch eine Gefährdung der Strafverfolgung ausgeschlossen werden kann. Hier ist eine Abstimmung mit den zuständigen Strafverfolgungsbehörden^[4] und der zuständigen Aufsichtsbehörde zu empfehlen.

[1] BT.- Drucksache 16/12011 S. 34.

[2] BT.- Drucksache 16/12011 S. 34.

[3] BT.- Drucksache 16/12011 S. 34; Gabel, BB 2009, S. 2045.

[4] Gabel, BB 2009, S. 2045.

4.3 Art, Inhalt und Form der Information

Hinsichtlich Art, Inhalt und Form der Information finden sich gesetzliche Regelungen in § 42a Satz 3 – 5 BDSG, wobei die Anforderungen an die Mitteilungspflicht gegenüber Betroffenen und Aufsichtbehörden variieren. Neben diesen rechtlichen Mindestinhalten sollten verantwortliche Stellen aber auch weitere Faktoren bei der Information der Betroffenen berücksichtigen. Diese zielen insbesondere darauf ab, weitere negative Folgewirkungen der Datenpanne (wie z. B. eine Kundenabwanderung) möglichst zu vermeiden.

4.3.1 Gesetzliche Vorgaben für Information des Betroffenen

Nach § 42a S. 3 BDSG muss die Benachrichtigung des Betroffenen (1) eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und (2) Empfehlungen zur Vermeidung nachteiliger Folgen enthalten.

Art der unrechtmäßigen Kenntniserlangung

Bei der Mitteilung über die Art der Kenntniserlangung geht es darum, den Betroffenen zu informieren, auf welche Weise Dritte von seinen Daten Kenntnis genommen haben. Im Ergebnis hat die verantwortliche Stelle in diesem Zusammenhang darzulegen, was für eine Datenpanne eingetreten ist. Es sind dabei auch die Ursachen und die Verantwortlichen in einer verständlichen Weise offenzulegen, ohne dass dabei technische Einzelheiten nötig sind.^[1]

Gesetzlich nicht geregelt ist, ob auch auf die Art der Daten hinzuweisen ist, die Dritten zugänglich wurden. Nach dem Sinn und Zweck der Regelung ist dies jedoch der Fall^[2], da die informationspflichtige Stelle den Betroffenen Empfehlungen zur Vermeidung nachteiliger Folgen an die Hand zu geben hat und Letzteres nur dann sinnvoll geschehen kann, wenn die Betroffenen wissen, um welche Daten es überhaupt geht. Auch für die Entscheidung der Betroffenen darüber, welc...