0

| Informationspflicht nach § 42a BDSG

Hunderte Datenpannen bei Datenschutzbehörden gemeldet

Wenn sensible personenbezogene Daten abhandenkommen, besteht Informationspflicht.
Bild: Haufe Online Redaktion

Seit der BDSG-Novelle 2009 sind auch nicht-öffentliche Stellen verpflichtet, Pannen oder Vorfälle zu melden, bei denen personenbezogene Daten abhandenkommen. Das Computermagazin c’t hat nachgefragt, was für Datenschutzvorfälle gemeldet wurden.

Die Informationspflicht gemäß § 42a BDSG soll vor allem dazu beitragen, dass die Transparenz in Datenschutzangelegenheiten erhöht wird. Außerdem sollen andere Unternehmen dazu motiviert werden, ihre Datenschutzvorkehrungen zu erhöhen, um derartige Fehlerquellen von vornherein auszuschalten. Doch bislang wurden die Meldungen weitestgehend unter Ausschluss der Öffentlichkeit behandelt, sodass jetzt das Computermagazin c’t einmal bei den zuständigen Datenschutzbehörden der Bundesländer nachgefragt hat, welche Pannen gemeldet wurden.

Über 200 gemeldete Datenpannen seit 2011

Dem Magazin liegen demnach 225 Meldungen aus dem gesamten Bundesgebiet vor, die den Datenschutzstellen im Zeitraum vom März 2011 bis heute gemeldet wurden. Während die Datenschutzstellen der meisten Bundesländer die Anfragen des Computermagazins umfassend beantworteten, gaben einige Stellen wie etwa im Saarland oder in Thüringen nur kurze Beschreibungen der Vorfälle an, die bayerische Datenschutzbehörde verweigerte sogar jede Auskunft.

Unterschiedlichste Vorfälle

In der Liste der gemeldeten Datenpannen finden sich höchst unterschiedliche Vorfälle. Das Spektrum reicht von

  • der versehentlichen Übermittlung von Patientendaten bei der Fernwartung von „bildgebenden Diagnosegeräten“ an den amerikanischen Hersteller der Geräte über den

  • Diebstahl von Kreditanträgen aus dem geparkten Auto eines Bankmitarbeiters bis zur

  • Entwendung mehrerer Laptops mit Gesundheitsdaten von 959 Mitarbeitern in einem Hamburger Unternehmen.

  • In Schleswig-Holstein musste eine Sparkasse den Verlust eines USB-Sticks mit Kontodaten von 120 Kunden melden.

Auch verschiedene Datenverluste aufgrund von Hackerangriffen wurden gemeldet. So erbeuteten Angreifer beim Betreiber eines Spiele-Portals im Web Kontodaten von 80.000 Kunden. Auch ein Online-Shop in Brandenburg wurde zum Opfer einer solchen Attacke, wobei jedoch nicht festgestellt werden konnte, wie viele Datensätze hierbei erbeutet wurden.

Hinweis zur Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten (§ 42a BDSG):

Mit der Datenschutznovelle 2009 wurde eine Pflicht zur Information bei unrechtmäßiger Kenntnisnahme von Daten durch Dritte eingeführt. Eine verantwortliche Stelle (Unternehmen oder Bundesbehörde) muss immer dann über eine Datenpanne informieren, wenn alle der folgenden Voraussetzungen vorliegen:

1. Die verantwortliche Stelle erkennt, dass ihr sensible Daten "abhanden" gekommen sind. Das heißt, dass entweder ein Dritter unrechtmäßig Kenntnis von den Daten erlangt hat (z. B. ein "Hacker") oder dass die Stelle selbst die Daten unrechtmäßig an einen Dritten übermittelt hat.

2. Es muss sich dabei um personenbezogene Daten handeln, die aus einer der folgenden Kategorien stammen:

- Besondere Arten von personenbezogenen Daten (z. B. Gesundheitsdaten oder Religions-/Gewerkschaftszugehörigkeit)

- Daten, die einem Berufsgeheimnis unterliegen (z. B. von einem Arzt oder Rechtsanwalt)

- Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht darauf beziehen

- Daten zu Bank- oder Kreditkartenkonten

3. Für den Betroffenen müssen aufgrund der Panne schwerwiegende Beeinträchtigungen drohen, etwa finanzielle Schäden bei Kreditkarteninformationen oder die Gefahr eines Identitätsdiebstahls.

Wenn eine  Informationspflicht  vorliegt, sind die zuständige Aufsichtsbehörde und die Betroffenen (also diejenigen, um deren Daten es geht) zu benachrichtigen.

Haufe Online Redaktion

Meldepflicht, Datenpanne, Informationspflicht

Aktuell

Meistgelesen