Management von Datenpannen

Zusammenfassung

Durch die "Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten" sind im Fall von Datenpannen Daten verarbeitende Stellen unter bestimmten Voraussetzungen verpflichtet, die Datenschutz-Aufsichtsbehörden und sogar die Betroffenen zu informieren. Hohe Bußgelder drohen, wenn der Informationspflicht nicht genügt wird. Andererseits können auch im Fall einer ordnungsgemäßen Unterrichtung Imageschäden und massive Kundenabwanderung die Folge sein. Um diese Folgen zu vermeiden bzw. so weit wie möglich zu minimieren, benötigen verantwortliche Stellen ein organisiertes Datensicherheits- und Informationspflichten-Management. Dieses sollte sich nicht in Ad-hoc-Maßnahmen für den Fall der Fälle erschöpfen, sondern bereits weit vor dem Entstehen einer Datenpanne ansetzen und sowohl technische und verfahrensmäßige als auch personelle Faktoren einbeziehen. Dieser Beitrag soll die Regelungsnotwendigkeiten aufzeigen und eine Anleitung für das Management von Datenpannen bieten.

Nach einer Einleitung, einem Überblick über die datenschutzrechtlichen Vorschriften werden in Kapitel 3 die Voraussetzungen erläutert, unter denen überhaupt eine Informationspflicht bei einer Datenpanne besteht. Im Anschluss werden Art und Umfang der Informationspflichten näher erläutert und Tipps für die Erfüllung dieser Pflichten gegeben (Kapitel 4). Am Ende des Beitrags (Kapitel 5) findet sich eine ausführliche Handlungsanleitung dazu, welche Aspekte in der Praxis bei der Einführung eines optimierten Informationspflichten-Managements bei Datenpannen zu beachten sind.

Dieser Beitrag bezieht sich auf das aktuelle Bundesdatenschutzgesetz (BDSG). Die Darstellungen nach der DSGVO und dem BDSG [ab. 25.05.2018] werden separat dargestellt.

1 Einleitung

Mit den Paragrafen § 42a BDSG, § 15a TMG und § 93 Abs. 3 TKG hat der Gesetzgeber datenschutzrechtliche Informationspflichten im Fall einer Datenpanne gegenüber der jeweils zuständigen Aufsichtsbehörde und den Betroffenen im deutschen Datenschutzrecht verankert. Die Meldepflicht soll greifen, wenn Dritte von bestimmten personenbezogenen Daten unberechtigt Kenntnis erlangen. Die Vorschrift gilt unter anderem für Daten zu Bank- und Kreditkartenkonten, für Daten, die einem Berufsgeheimnis unterliegen, für besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) und für Daten über Straftaten und Ordnungswidrigkeiten. Aufgrund der entsprechenden Ergänzungen auch des TMG und des TKG gilt die Informationspflicht außerdem für Bestands-, Nutzungs- und Verkehrsdaten nach diesen Gesetzen.

Ist es zu einer Datenpanne gekommen, müssen die betroffenen Stellen deshalb genau prüfen, ob Informationspflichten bestehen, und wenn ja, wie ihnen nachgekommen werden soll, um einerseits den gesetzlichen Anforderungen zu genügen, andererseits aber auch die negativen Imageeffekte möglichst zu minimieren. Dabei kann es sich aber nur um reaktive "Ad-hoc-Maßnahmen" handeln. Um das Risiko des Entstehens einer Datenpanne möglichst einzudämmen oder ganz zu vermeiden, muss bereits im Vorfeld ein Prozess etabliert werden, der das Thema "Datenpannen" ganzheitlich steuert. Neben technischen Faktoren (wie etwa bestimmten Datensicherungsmaßnahmen) und verfahrensmäßigen Vorkehrungen (wie etwa dem Datenmanagement) müssen auch personelle Faktoren dabei Berücksichtigung finden.

2 Einschlägige Vorschriften

Vorschriften, aus denen sich eine Pflicht zur Information bei Datenpannen ergeben, sind bisher in drei Gesetzen verankert. Die zentrale Vorschrift ist hierbei der bereits erwähnte § 42a BDSG, der als Basisnorm fungiert. Bereichsspezifische Vorschriften finden sich im Telemediengesetz (§ 15a TMG) und im Telekommunikationsgesetz (§ 93 Abs. 3 TKG). Beide Vorschriften enthalten bestimmte Abweichungen bzgl. des Bestehens der Informationspflicht, wegen der Rechtsfolgen verweisen sie aber auf § 42a BDSG.

Ebenfalls zu nennen ist an dieser Stelle der § 43 Abs. 2 Nr. 7 BDSG, wonach die Nichterfüllung bzw. Fehler bei der Erfüllung der Informationspflicht nach dem BDSG als Ordnungswidrigkeit einzustufen und damit bußgeldpflichtig sind.

3 Voraussetzungen der Informationspflicht

Nicht jede "Datenpanne" führt unmittelbar zu einer Informationspflicht. Eine Pflicht zur Information besteht nur beim Vorliegen bestimmter, gesetzlich normierter Voraussetzungen.

3.1 Adressaten der Regelung

Bezüglich der Adressaten der Informationspflicht ist zu differenzieren. Während § 42a BDSG sich an nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 BDSG und öffentlich-rechtliche Wettbewerbsunternehmen richtet (§ 27 Abs. 1 Satz 1 Nr. 2 BDSG), ist weder in § 15 TMG noch in § 93 Abs. 3 TKG eine derartige Eingrenzung vorgesehen^[1]. Die Informationspflicht nach diesen Gesetzen trifft alle Diensteanbieter. Dieser Begriff ist etwa in § 2 Nr. 1 TMG gesetzlich definiert als jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt^[2]. Anerkanntermaßen unterfallen diesem Begriff des Diensteanbieters auch öffentlich-rechtliche Körperschaften und andere rechtsfähige öffentlich-rechtliche Einrichtungen^[3], etwa Universitäten^...