Datenschutz: Meldepflicht der Unternehmen bei Datenpannen

Haufe Online Redaktion

Datenschutz: Meldepflicht der Unternehmen bei Datenpannen — Bild: Corbis Wo sind all die Daten hin? Wo sind sie geblieben?

Verdreifachtes gemeldetes Volumen: Deutlich mehr Unternehmen als in den Vorjahren haben 2016 etwa bei der bayerischen Datenschutzbehörde Datenpannen gemeldet. Laut Tätigkeitsbericht des Landesamts, stieg die Zahl der angezeigten Vorfälle um das Dreifache. Dabei gehen Datenschützern davon aus, dass trotz eklatanter Zunahme weiter nur ein Bruchteil aller meldepflichtigen Vorfälle tatsächlich auch bekannt wird.

Schwerwiegendere Datenpannen müssen schon seit einigen Jahren nach § 42 a des Bundesdatenschutzgesetzes sowie § 15a des Telemediengesetzes den zuständigen Aufsichtsbehörden gemeldet werden.

Viele Unternehmen ignorieren die Daten-Pannen-Meldepflicht

Bislang hielten / halten (?) sich nur vergleichsweise wenige Unternehmen an diese Auflage, trotzdem steigen die Werte jetzt rasant

Beispiel:

Im aktuellen Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hat sich die Zahl der gemeldeten Pannen 2016 im Vergleich zu den Vorjahren drastisch erhöht. Wurden 2014 gerade einmal 21 und 2015 lediglich 28 solcher Vorfälle gemeldet, waren es im letzten Jahr bereits 85.

Bewusstsein für Meldepflicht steigt langsam

Der Chef des BayLDA, Thomas Kranig, zeigte sich überrascht über den deutlichen Anstieg und führte die Entwicklung auch auf ein gestiegenes Bewusstsein für die Meldepflicht zurück. Zugleich wies er darauf hin, dass auch diese Zahl wohl nur die Spitze eines großen Eisbergs darstelle.

Die allermeisten #Datenpannen werden pflichtwidrig immer noch nicht den Aufsichtsbehörden #gemeldet.
Click to tweet

Aufsichtsbehörden hören über Presseberichte von den Pannen

So sei die Behörde in vielen Fällen erst nachträglich durch Presseberichte auf solche Pannen aufmerksam geworden und die betroffenen Unternehmen hätten sich in diesen Fällen entweder durch abenteuerliche Begründungen herausgeredet oder erklärt, dass sie von der Meldepflicht nichts gewusst hätten.
In einigen Fällen wurden Datendiebstähle auch durch aufmerksame Bürger gemeldet, die etwa verdächtige Aktivitäten auf E-Mail-Konten festgestellt hatten.

Viele Hackerangriffe

Besonders oft kam es zu Datendiebstählen durch kriminelles Hacking. Neben großen Internet-Konzernen standen dabei auch kleinere Unternehmen oder Privatpersonen im Visier der Angreifer, die hier oftmals Datensätze mit E-Mail-Adressen, Passwörtern und häufig auch weitere persönliche Daten erbeuten konnten, die anschließend im Darknet weiterverkauft wurden.

Nutzer nur unzureichend und verspätet informiert

Kranig kritisierte die von den Datenpannen betroffenen Unternehmen auch wegen der Nachbereitung der Pannen.

Sie hätten ihre Kunden häufig nur unzureichend und erst mit teilweise jahrelanger Verspätung über die Datendiebstähle und die damit verbundenen Missbrauchsmöglichkeiten informiert.

Meldepflicht wird mit Datenschutzreform ausgeweitet

Bisher müssen Datenschutzpannen nur dann gemeldet werden, wenn vergleichsweise sensible Daten entwendet wurden und den Betroffenen schwerwiegende Beeinträchtigungen drohen.

Mit der Umsetzung der europäischen Datenschutzgrundverordnung im nächsten Jahr wird Meldepflicht deutlich strenger, denn die Schwelle für die Notwendigkeit einer Meldung wird herabgesetzt.
Dann reicht bereits ein einfaches Risiko für die Betroffenen aus, damit eine Panne unter die Meldepflicht fällt.

Bei den Datenschutzbehörden rechnet man auch deshalb mit einem deutlichen Anstieg des Arbeitsaufwands im nächsten Jahr, der nur durch eine erhebliche Aufstockung der Mitarbeiteranzahl bewältigt werden könne.

Hintergrund: Unterrichtung von Kunden bei besonders sensiblen Daten

Aktuell müssen alle betroffenen Kunden über die Vorfälle informiert werden, wenn finanzielle Informationen wie

Kontodaten, aber auch
Passwörter,
Standortdaten,
E-Mail-Daten,
Webbrowser-Verläufe oder
Internet-Protokolldateien

in fremde Hände gelangt sein können. Ebenso sind die Nutzer zu informieren, wenn zu befürchten ist, dass konkrete Gefährdungen wie etwa physische oder psychische Beeinträchtigungen drohen.

Meldepflicht

Mit § 42a BDSG, § 15a TMG und § 93 Abs. 3 TKG hat der Gesetzgeber datenschutzrechtliche Informationspflichten im Fall einer Datenpanne gegenüber der jeweils zuständigen Aufsichtsbehörde und den Betroffenen geregelt.
Diese Regelungen sind an die in den USA bestehenden Vorschriften zur "Data Breach Notification" und an EU-Richtlinien angelehnt.
Die Meldepflicht soll greifen, wenn Dritte von bestimmten personenbezogenen Daten unberechtigt Kenntnis erlangen, unter anderem Daten zu Bank- und Kreditkartenkonten, für Daten, die einem Berufsgeheimnis unterliegen, für besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) und für Daten über Straftaten und Ordnungswidrigkeiten.

Meistgelesene beiträge

Neueste beiträge

Compliance-Tücken bei der Auswahl der Tagungsstätte für Fortbildungen im Gesundheitswesen

15.09.2020
Arbeitnehmerüberlassung: Was ist zu beachten?

02.09.2020
IT Sicherheitskonzept für KMU

01.09.2020
Websites vieler KMU weisen laut aktueller Studie erhebliche Datenschutzmängel auf

28.08.2020

2
Aufgaben und Berufsbild des Compliance Officers im Einklang mit den Unternehmensinteressen?

11.08.2020
Compliance-Veranstaltungen – eine Auswahl

04.08.2020
Wie hat sich die Datenschutzgrundverordnung bewährt? EU-Kommission zieht 1. Bilanz

22.07.2020
EuGH erklärt Privacy Shield für ungültig – DSGVO zu beachten

21.07.2020
Datenschützer kritisieren Videokonferenzsysteme, wiederum auch die von Microsoft

15.07.2020
Überlegungen zum Gehalt eines Compliance Officers

07.07.2020

1

Meldepflicht der Unternehmen bei Datenpannen wird oft noch ignoriert