22. Mai 2014 - Bundesdatenschutzgesetz

Datenpannen – was geht mich das an?

Datenpannen werden sich nie ganz vermeiden lassen. Mit Datenpannen gut umzugehen, sollte dagegen für jeden möglich sein. Wann meldepflichtige Datenpannen vorliegen und warum man auch im Interesse anderer verantwortlicher Stellen der gesetzlichen Meldepflicht nachkommen sollte, stellt dieser Beitrag aus Sicht einer Datenschutzaufsichtsbehörde dar. Das Bayerische Landesamt für Datenschutzaufsicht sieht die Meldepflicht bei Datenpannen z.B. als Chance, externe Unterstützung zu bekommen, damit sich Pannen nicht wiederholen und Schäden begrenzt werden.

Datenpannen Datenpannen zu melden, hilft, Schwachstellen für die Zukunft zu beheben (Bild: Thinkstock/Model-la)

Unter „Pannen“ versteht man im allgemeinen Sprachgebrauch einen Fehler oder ein durch gedankenloses oder unvorsichtiges Handeln verursachtes Missgeschick (so der Duden). Das heißt, Pannen in diesem Sinne drücken im Wesentlichen die Umstände der Entstehung dieses Missgeschicks aus.

Es kommt nicht auf die Umstände an

Mit der Brille des Datenschützers kommt es bei einer Datenpanne im Sinn des § 42a Bundesdatenschutzgesetz (BDSG) auf die Umstände der Entstehung des Missgeschicks zunächst überhaupt nicht an, sondern nur darauf, welche Daten betroffen sind und ob schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Ob die Datenpanne im Sinne des § 42a BDSG aufgrund eines gedankenlosen Handelns, eines flächendeckenden Ausspionierens durch die NSA oder eines gezielten kriminellen Angriffs (Hacking, Skimming) entstanden ist, spielt keine Rolle.

Voraussetzungen für die Meldepflicht

Voraussetzung für eine Informationspflicht nach § 42a BDSG ist, dass Daten einer der gesetzlich beschriebenen Kategorien unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sein können. Zu den Datenkategorien gehören:

  • besondere Arten personenbezogener Daten
  • personenbezogene Daten, die einem Berufsgeheimnis unterliegen
  • personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen
  • Daten zu Bank- oder Kreditkartenkonten

Aus § 15a Telemediengesetz (TMG) ergibt sich, dass auch Internetzugangsdaten wie E-Mail-Adressen, sofern sie als Benutzername verwendet werden, und Passwörter in den § 42a BDSG einzubeziehen sind. So geschah es z.B. in einem Hacking-Fall, als bei einer Internet-Plattform die Mitgliederdatenbank gehackt und E-Mail-Adressen, (unzureichend) verschlüsselte Passwörter sowie teilweise Namen und Postadressen erbeutet wurden.

Schwerwiegende Beeinträchtigung der Betroffenen nötig

Als weiteres Tatbestandsmerkmal für das Entstehen der Informationspflicht muss eine schwerwiegende Beeinträchtigung für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Davon wird in aller Regel auszugehen sein, wenn es sich um den Verlust von Daten der gesetzlich beschriebenen Kategorien handelt. Auslegungskriterien sind dabei v.a. die Art der Daten, der (mögliche) Besitzer der Daten („vertrauenswürdig“ oder nicht?) und die potenziellen Auswirkungen auf die Betroffenen in Form von materiellen Schäden, Identitätsbetrug, sozialen Nachteilen und immateriellen Schäden. Im Einzelfall mag eine Bedrohung deshalb nicht (mehr) gegeben seien, weil die Betroffenen über den Datenverlust Kenntnis erlangt und selbst Maßnahmen ergriffen haben, damit ihnen kein Schaden entsteht.

Ausblick auf Europa
Nach Art. 31 des Kommissionsentwurfs für die europäische Datenschutzgrundverordnung sollte die Meldung einer Datenpanne innerhalb von 24 Stunden an die Aufsichtsbehörde erfolgen. Das EU-Parlament hat dagegen vorgeschlagen, dass diese Benachrichtigungspflicht (nur) unverzüglich erfolgen soll.Folgende Angaben sollen bei einer Verletzung des Schutzes personenbezogener Daten nötig sein:

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze
  • Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen
  • Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten
  • Beschreibung der Folgen der Verletzung des Schutzes personenbezogener Daten
  • Beschreibung der vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und zur Minderung ihrer Auswirkungen

Die Aufsichtsbehörde soll einen Verstoß gegen diese Meldepflicht mit einer Geldbuße von bis zu 1.000.000 Euro oder bei Unternehmen bis in Höhe von 2 % ihres weltweiten Jahresumsatzes ahnden können. Angedacht ist auch die Verpflichtung der Aufsichtsbehörde, ein öffentliches Verzeichnis der Datenpannen zu führen.

Imageverlust versus Bußgeld?

Die Frage „Datenpannen – was geht mich das an?“ lässt sich mit „Sehr viel“ beantworten, da es eine gesetzliche Verpflichtung – die bußgeldbewehrt ist – gibt, bei Vorliegen einer Datenpanne im o.g. Sinn die zuständige Aufsichtsbehörde und gegebenenfalls die Betroffenen zu informieren. Dabei ist nicht auszuschließen, dass im Einzelfall eine (gesetzlich unzulässige) Abwägung zwischen den Fragen angestellt wird, welcher Reputationsverlust eintreten könnte, wenn eine Datenpanne bei einem Unternehmen bekannt wird, und wie groß das Risiko ist, dass die Aufsichtsbehörde etwas erfährt und mit einem Bußgeld (bis zu 300.000 Euro) reagiert.

Bei dieser (gesetzlich unzulässigen) Abwägung soll dem Vernehmen nach auch eine Rolle spielen, ob Aufsichtsbehörden gemeldete Datenpannen öffentlich machen, was in manchen Bundesländern aufgrund dort bestehender Transparenz- oder Informationsfreiheitsgesetze verpflichtend sein kann.

Die Meldepflicht als Chance

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) sieht die Meldepflicht bei Datenpannen dagegen als Chance für die Unternehmen, zur Behebung von Problemen externe Berater und Verbündete zu bekommen, die helfen können, dass sich derartige Pannen möglichst nicht wiederholen und Schäden begrenzt werden.

Bisher kein Bußgeld bei Datenpannen durch das BayLDA

Deswegen hat das BayLDA bisher bei allen gemeldeten Datenpannen davon abgesehen, gegen einzelne Mitarbeiter oder das Unternehmen einen Bußgeldbescheid zu erlassen, selbst wenn die Datenpanne auf einem bußgeldbewehrten Fehlverhalten beruht. Vermutlich gilt dies weitestgehend auch für die anderen Datenschutzaufsichtsbehörden in Deutschland.

Meldungen helfen, häufige Schwachstellen zu erkennen und zu beheben

Das BayLDA lädt deshalb die Unternehmen immer wieder dazu ein, Kontakt zu suchen, wenn eine Panne eingetreten ist, um gemeinsam feststellen zu können, ob es sich um eine meldepflichtige Datenpanne handelt oder nicht. Meldungen, die bei den Aufsichtsbehörden zusammengefasst werden, können darüber hinaus helfen, festzustellen, welche Ursachen häufig zu Datenpannen führen, um dann bei Beratungen oder Fortbildungen darauf gezielt eingehen und die Unternehmen sensibilisieren zu können.

Typische Ursachen für Datenpannen

Eine Auswertung von Datenpannen von März 2012 bis Oktober 2013 ergab, dass Pannen durch folgende Handlungen entstanden sind:

Handlung Anzahl
Hacking 65
Skimming 27
Diebstahl 72
Verlust 25
Fehlversendung 41
Fehlprogrammierung 21
Entsorgung 2
Sonstiges 10

Mitarbeiter schulen!

Führungskräfte und Mitarbeiter sollten über die Meldepflicht nach § 42a BDSG im Bilde sein. Ein Prüfungs- und Meldesystem sollte im Unternehmen ebenso wie ein Fluchtwegeplan für den Fall eines Feuers implementiert sein, damit das Unternehmen bei entsprechenden Ereignissen rechtskonform reagieren kann.

Thomas Kranig
Thomas Kranig ist Präsident des Bayerischen Landesamts für Datenschutzaufsicht.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln