3. Dezember 2009 - Irrgarten oder öffentlicher Pranger?

Die neue Informationspflicht bei Datenschutzverstößen

Die neu eingeführte Pflicht, die zuständige Datenschutzbehörde sowie die Betroffenen zu informieren, wenn sensible personenbezogene Daten an Dritte gelangen, hat in den Unternehmen Unruhe ausgelöst. Im Extremfall müssen nämlich zwei mindestens halbseitige Anzeigen in bundesweit erscheinenden Tageszeitungen geschaltet werden, damit die Information jeden Betroffenen erreicht. Dabei geht es um Kosten von ohne Weiteres 30.000 Euro je Anzeige. Daher sollten Sie die wichtigsten Fußangeln der neuen Regelungen kennen.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

„Die Informationspflicht besteht, wenn bestimmte besonders sensible personenbezogene Daten Dritten unrechtmäßig zur Kenntnis gelangen und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen“.

So umschreibt die Gesetzesbegründung, was der neue § 42a BDSG erreichen will (BT-Drs. 16/12011 vom 18.02.2009, S. 31).

Die Informationspflicht knüpft an vier Datenarten an

Die Vorschrift richtet sich in der Privatwirtschaft an alle Stellen, bei denen die vier Arten von personenbezogenen Daten gespeichert sind, die § 42a Satz 1 auflistet:

1. Besondere Arten personenbezogener Daten gemäß § 3 Abs. 9 BDSG

Zu den besonderen Arten personenbezogener Daten nach § 3 Abs. 9 BDSG gehören in der betrieblichen Praxis v.a. Gesundheitsdaten von Beschäftigten – etwa Zeiten der Arbeitsunfähigkeit aus Krankmeldungen – und Daten zu religiösen Überzeugungen (Tatsache der Mitgliedschaft bzw. Nichtmitgliedschaft in einer Kirche, die Kirchensteuer erhebt).

Aber auch Gesundheitsdaten von Kunden sind häufiger vorhanden, als man zunächst glaubt. Beispiel: Der Kunde bestellt Waren wie etwa ein Blutdruckmessgerät. Das legt zumindest nahe, dass er entsprechende gesundheitliche Probleme hat.

2. Personenbezogene Daten, die einem Berufsgeheimnis unterliegen

Bei dieser Art von Daten handelt es sich z.B. um Daten der Beschäftigten, die beim Betriebsarzt vorhanden sind (ärztliche Schweigepflicht, § 203 Strafgesetzbuch!).

Dabei ist zu bedenken, dass der Betriebsarzt datenschutzrechtlich gesehen Teil des Unternehmens ist. Das Unternehmen steht also in der Verantwortung dafür, was bei ihm mit Daten von Beschäftigten geschieht.

3. Personenbezogenen Daten mit Bezug zu Straftaten oder Ordnungswidrigkeiten

Auch sie kommen in jedem Unternehmen vor. Man denke nur an „Strafzettel“ für Fahrten von Beschäftigten mit Firmenfahrzeugen.

4. Personenbezogene Daten zu Bank- und Kreditkartenkonten

Personenbezogene Daten zu Bank- und Kreditkartenkonten sind für jeden Arbeitnehmer in der Lohnbuchhaltung vorhanden. Hinzu kommen entsprechende Daten von Kunden, soweit es sich dabei um natürliche Personen handelt oder um „Einmann-GmbHs“ und ähnliche kleine juristische Personen, deren Daten zugleich personenbezogene Daten des Geschäftsführers sind.

Bei Krankenhäusern kommt es zu eigentümlichen Ergebnissen

Die Regelungstechnik, an Arten von Daten anzuknüpfen und nicht an bestimmte Arten von Unternehmen und sonstigen verantwortlichen Stellen, führt zu überraschenden Ergebnissen.

Das zeigt das Beispiel der Krankenhäuser. Ein Laie würde zunächst meinen, dass die Vorschrift auf sie in jedem Fall anwendbar sein müsste – denn es werden wohl nirgends so viele Gesundheitsdaten gespeichert wie dort. Die komplizierten Verweisungen auf andere Vorschriften am Beginn von § 42a BDSG führen jedoch zu folgendem Ergebnis:

Stets anwendbar ist die Vorschrift auf Kliniken in privater Trägerschaft. Bei ihnen handelt es sich nämlich um nicht öffentliche Stellen gemäß § 2 Abs. 4 BDSG, auf den § 42a BDSG verweist.

Ebenfalls anwendbar ist sie auf die (wenigen) Krankenhäuser in Trägerschaft des Bundes (Bundeswehrkrankenhäuser und Krankenhäuser der Deutschen Rentenversicherung Bund). Bei ihnen handelt es sich nämlich um öffentliche Stellen gemäß § 27 Abs. 1 Satz 1 Nummer 2a BDSG, die – was dort zusätzlich vorausgesetzt ist – im Wettbewerb mit privaten Kliniken stehen. Lehnt man die Auffassung, wonach diese Krankenhäuser im Wettbewerb stehen, jedoch ab (was durchaus einige Juristen tun), kommt § 42a BDSG hier nicht zur Anwendung.

Regelung ist z.B. für kommunale Krankenhäuser nicht anwendbar

Von vorneherein nicht anwendbar ist die Regelung dagegen auf die zahlreichen Krankenhäuser, die den Landesdatenschutzgesetzen unterfallen (insbesondere also kommunale Krankenhäuser). § 27 Abs. 1 Satz 1 Nummer 2b BDSG, auf den § 42a BDSG hier verweist, schließt nämlich insoweit die Anwendung des gesamten BDSG aus, wenn der Datenschutz durch Landesrecht geregelt ist.

Das ist in allen 16 Bundesländern der Fall, nur enthält – bisher – kein Landesdatenschutzgesetz eine dem § 42a BDSG entsprechende Vorschrift.

Informiert werden müssen beide: Aufsichtsbehörde und Betroffene

Die neue Vorschrift verpflichtet zu einer doppelten Information:

Information der zuständigen Aufsichtsbehörde: Sie muss „unverzüglich“ erfolgen. Dieser Begriff ist in der Rechtssprache definiert als „ohne schuldhaftes Zögern“ (§ 121 BGB). In der Regel läuft das auf eine sofortige Information hinaus, sobald erst einmal feststeht, dass die Voraussetzungen der Informationspflicht erfüllt sind.

Information der Betroffenen: Diese Information muss zwar auch „unverzüglich“ erfolgen, jedoch erst dann, wenn

  • angemessene Maßnahmen zur Sicherung der Daten erfolgt sind oder
  • solche Maßnahmen (pflichtwidrig!) nicht unverzüglich ergriffen wurden und
  • wenn die Strafverfolgung durch die Information des Betroffenen nicht mehr gefährdet wird.

Die Informationspflicht entsteht unter zwei Voraussetzungen

Zu dieser Informationspflicht kommt es unter zwei Voraussetzungen:

1. Daten, die zu den vier Datenkategorien gehören, müssen

  • unrechtmäßig übermittelt worden oder
  • Dritten auf sonstige Weise unrechtmäßig zur Kenntnis gelangt sein und

2. es müssen deshalb schwerwiegende Beeinträchtigungen der Rechte oder der schutzwürdigen Interessen von Betroffenen drohen.

Wann handelt es sich um eine „schwerwiegende Beeinträchtigung“?

Vor allem darüber, wann das zweite Merkmal erfüllt ist, kann man ausgiebig streiten. Das zeigt folgendes Beispiel: Bankkunden, die an einem Geldautomaten abheben, werden Opfer einer „Skimming-Attacke“: Kriminelle kopieren die EC-Karte mittels eines Geräts, das vor den Karteneinzug montiert wurde, und filmen die Eingabe der Geheimnummern.

Falls die Karten gesperrt werden und die Bank den Schaden ersetzt hat, kann man zumindest sehr zweifeln, ob noch eine Beeinträchtigung von Rechten oder Interessen „droht“.

Sicher war eine solche Beeinträchtigung zunächst eingetreten. Das ist aber nach dem Gesetzeswortlaut nicht entscheidend. Und weitere, künftige Beeinträchtigungen drohen aus den Vorfällen angesichts der Sperrung und dem Ersatz des Schadens nicht mehr. Richtigerweise ist eine Informationspflicht unter diesen Voraussetzungen also abzulehnen.

In der Praxis wird man zuerst die Aufsichtsbehörde informieren

Bei der Aufsichtsbehörde legt das Gesetz Wert auf sehr rasche Information. Bei der Information des Betroffenen muss es berücksichtigen, dass eine zu frühe Information einen Negativeffekt haben kann: Sie kann dazu führen, dass dadurch zwielichtige Gestalten auf ein eingetretenes Sicherheitsproblem aufmerksam werden und die Sicherheitslücken ausnutzen. Dieses Risiko besteht vor allem dann, wenn die Information öffentlich erfolgt.

In der Praxis wird das meist darauf hinauslaufen, dass ein Unternehmen die Aufsichtsbehörde – und wenn erforderlich auch die Staatsanwaltschaft – möglichst sofort informiert und mit ihnen abspricht, wie und vor allem wann die Information der Betroffenen erfolgen soll.

Die öffentliche Information ist meist eine freiwillige Maßnahme

Zu einer öffentlichen Information durch Zeitungsanzeigen ist die nach BDSG verantwortliche Stelle jedenfalls dann nicht verpflichtet, wenn sie jeden einzelnen Betroffenen direkt persönlich informiert. Denn das ist nicht nur genauso wirksam wie eine öffentliche Information, sondern auch effektiver.

Aber auch generell ist zweifelhaft, ob die Aufsichtsbehörde eine öffentliche Information erzwingen kann. Satz 5 der neuen Vorschrift ist nämlich so formuliert, dass eine Pflicht zur öffentlichen Information nur entsteht, „soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde“.

Es muss der verantwortlichen Stelle überlassen bleiben, ob sie einen solchen „unverhältnismäßigen Aufwand“ auf sich nimmt, ohne dazu verpflichtet zu sein. Mit anderen Worten: Letztlich bleibt ihr immer die Wahl, welchen der beiden denkbaren Wege sie wählt: öffentliche Information oder individuelle Information jedes Betroffenen.

Das gilt nicht, wenn die Betroffenen nur zum Teil individuell erreichbar sind

Voraussetzung der individuellen Information ist stets, dass tatsächlich alle Betroffenen erreichbar sind – ein in der Praxis nicht zu unterschätzendes Problem. Gelingt dies nicht, führt an einer öffentlichen Information kaum noch ein Weg vorbei.

Dr. Eugen Ehmann

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln