Datenschutz: Meldepflicht der Unternehmen bei Datenpannen

Haufe Online Redaktion

Datenschutz: Meldepflicht der Unternehmen bei Datenpannen — Bild: Corbis Wo sind all die Daten hin? Wo sind sie geblieben?

Verdreifachtes gemeldetes Volumen: Deutlich mehr Unternehmen als in den Vorjahren haben 2016 etwa bei der bayerischen Datenschutzbehörde Datenpannen gemeldet. Laut Tätigkeitsbericht des Landesamts, stieg die Zahl der angezeigten Vorfälle um das Dreifache. Dabei gehen Datenschützern davon aus, dass trotz eklatanter Zunahme weiter nur ein Bruchteil aller meldepflichtigen Vorfälle tatsächlich auch bekannt wird.

Schwerwiegendere Datenpannen müssen schon seit einigen Jahren nach § 42 a des Bundesdatenschutzgesetzes sowie § 15a des Telemediengesetzes den zuständigen Aufsichtsbehörden gemeldet werden.

Viele Unternehmen ignorieren die Daten-Pannen-Meldepflicht

Bislang hielten / halten (?) sich nur vergleichsweise wenige Unternehmen an diese Auflage, trotzdem steigen die Werte jetzt rasant

Beispiel:

Im aktuellen Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hat sich die Zahl der gemeldeten Pannen 2016 im Vergleich zu den Vorjahren drastisch erhöht. Wurden 2014 gerade einmal 21 und 2015 lediglich 28 solcher Vorfälle gemeldet, waren es im letzten Jahr bereits 85.

Bewusstsein für Meldepflicht steigt langsam

Der Chef des BayLDA, Thomas Kranig, zeigte sich überrascht über den deutlichen Anstieg und führte die Entwicklung auch auf ein gestiegenes Bewusstsein für die Meldepflicht zurück. Zugleich wies er darauf hin, dass auch diese Zahl wohl nur die Spitze eines großen Eisbergs darstelle.

Die allermeisten #Datenpannen werden pflichtwidrig immer noch nicht den Aufsichtsbehörden #gemeldet.
Click to tweet

Aufsichtsbehörden hören über Presseberichte von den Pannen

So sei die Behörde in vielen Fällen erst nachträglich durch Presseberichte auf solche Pannen aufmerksam geworden und die betroffenen Unternehmen hätten sich in diesen Fällen entweder durch abenteuerliche Begründungen herausgeredet oder erklärt, dass sie von der Meldepflicht nichts gewusst hätten.
In einigen Fällen wurden Datendiebstähle auch durch aufmerksame Bürger gemeldet, die etwa verdächtige Aktivitäten auf E-Mail-Konten festgestellt hatten.

Viele Hackerangriffe

Besonders oft kam es zu Datendiebstählen durch kriminelles Hacking. Neben großen Internet-Konzernen standen dabei auch kleinere Unternehmen oder Privatpersonen im Visier der Angreifer, die hier oftmals Datensätze mit E-Mail-Adressen, Passwörtern und häufig auch weitere persönliche Daten erbeuten konnten, die anschließend im Darknet weiterverkauft wurden.

Nutzer nur unzureichend und verspätet informiert

Kranig kritisierte die von den Datenpannen betroffenen Unternehmen auch wegen der Nachbereitung der Pannen.

Sie hätten ihre Kunden häufig nur unzureichend und erst mit teilweise jahrelanger Verspätung über die Datendiebstähle und die damit verbundenen Missbrauchsmöglichkeiten informiert.

Meldepflicht wird mit Datenschutzreform ausgeweitet

Bisher müssen Datenschutzpannen nur dann gemeldet werden, wenn vergleichsweise sensible Daten entwendet wurden und den Betroffenen schwerwiegende Beeinträchtigungen drohen.

Mit der Umsetzung der europäischen Datenschutzgrundverordnung im nächsten Jahr wird Meldepflicht deutlich strenger, denn die Schwelle für die Notwendigkeit einer Meldung wird herabgesetzt.
Dann reicht bereits ein einfaches Risiko für die Betroffenen aus, damit eine Panne unter die Meldepflicht fällt.

Bei den Datenschutzbehörden rechnet man auch deshalb mit einem deutlichen Anstieg des Arbeitsaufwands im nächsten Jahr, der nur durch eine erhebliche Aufstockung der Mitarbeiteranzahl bewältigt werden könne.

Weitere News zum Thema:

Verbraucher trauen dem Unternehmensdatenschutz nicht

Hintergrund: Unterrichtung von Kunden bei besonders sensiblen Daten

Aktuell müssen alle betroffenen Kunden über die Vorfälle informiert werden, wenn finanzielle Informationen wie

Kontodaten, aber auch
Passwörter,
Standortdaten,
E-Mail-Daten,
Webbrowser-Verläufe oder
Internet-Protokolldateien

in fremde Hände gelangt sein können. Ebenso sind die Nutzer zu informieren, wenn zu befürchten ist, dass konkrete Gefährdungen wie etwa physische oder psychische Beeinträchtigungen drohen.

Meldepflicht

Mit § 42a BDSG, § 15a TMG und § 93 Abs. 3 TKG hat der Gesetzgeber datenschutzrechtliche Informationspflichten im Fall einer Datenpanne gegenüber der jeweils zuständigen Aufsichtsbehörde und den Betroffenen geregelt.
Diese Regelungen sind an die in den USA bestehenden Vorschriften zur "Data Breach Notification" und an EU-Richtlinien angelehnt.
Die Meldepflicht soll greifen, wenn Dritte von bestimmten personenbezogenen Daten unberechtigt Kenntnis erlangen, unter anderem Daten zu Bank- und Kreditkartenkonten, für Daten, die einem Berufsgeheimnis unterliegen, für besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) und für Daten über Straftaten und Ordnungswidrigkeiten.

Produktempfehlung

Ihre Premium-Fachdatenbank für Personal, Rechnungswesen und Steuern

Haufe Business Office Professional

Rechtssicheres Fachwissen, optimale Arbeitshilfen: Haufe Business Office Professional ist die Premium-Software für Unternehmen mit höchstem Anspruch. Profitieren Sie von einer großen Wissensdatendank inkl. Tools für die Bereiche Personal, Rechnungswesen und Steuern.

Meistgelesene beiträge

Neueste beiträge

Bewertungskriterien des DOJ für die Effektivitätsbeurteilung von CMS – Konzept

20.11.2019
Diese Elemente sollte Ihr Compliance-Management-System aufweisen

20.11.2019
Bewertungskriterien des DOJ für die Effektivitätsbeurteilung von CMS – Umsetzung und Funktion

20.11.2019
Compliance Screening in Unternehmen

19.11.2019
Das Risiko der Scheinselbstständigkeit

13.11.2019
Umsetzung der DSGVO in den Kommunen - belastend und schleppend

12.11.2019
Wann muss eine öffentliche Ausschreibung erfolgen?

05.11.2019
Compliance-Trainings – Nur Paragraphen lernen?

18.10.2019
Internal Investigations – Compliance-Studie 2019

16.10.2019
IT-Governance in der Praxis

09.10.2019