R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
 
 
Datenschutz im Unternehmen (2015), Teil 1 Rn. 404—435 
Kapitel 8: Umgang mit Datenpannen … 
Tim Wybitul; Jyn Schultze-Melling 

175 Kapitel 8: Umgang mit Datenpannen nach § 42a BDSG

404

Im Rahmen der Reform des BDSG im Jahr 2009 hat der Gesetzgeber eine neue Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten eingeführt. Diese Neuerung hat weitreichende Folgen für Unternehmen. Mit der umfassenden Information über Störfälle im Umgang mit personenbezogenen Daten ist eine ausgesprochen negative Wirkung in der Öffentlichkeit verbunden.531 Die Regelung soll eine abschreckende Wirkung haben und Gefahren für die Persönlichkeitsrechte der von Datenpannen532 Betroffenen abwenden.533 Mit der Pflicht zur frühzeitigen Information bei Datenpannen wird dem Datenschutz in Unternehmen wohl künftig ein noch höherer Stellenwert zukommen als dies aufgrund der sogenannten Datenschutzskandale der Vergangenheit bereits der Fall war.

405

Dieser Abschnitt des Handbuchs beschreibt die Voraussetzungen und Rechtsfolgen von § 42a BDSG und gibt Handlungsempfehlungen zur Vermeidung von Nachteilen.

I. Wozu dient § 42a BDSG?

406

§ 42a BDSG enthält eine Informationspflicht für Unternehmen534 bei sogenannten Datenpannen. Stellt eine verantwortliche Stelle fest, dass aufgrund eines unrechtmäßigen Abflusses von bestimmten personenbezogenen Daten schwere Nachteile für die von dem Datenverlust Betroffenen drohen, so muss die zuständige Stelle die zuständige Datenschutzbehörde und die Betroffenen von dem Vorfall informieren.

407

Kommt sie dieser Pflicht nicht oder nicht auf die richtige Art und Weise nach, drohen gemäß § 42a Abs. 2 Nr. 7 BDSG Bußgelder bis zu 300.000 Euro und in besonders schweren Fällen auch Haft- oder Geldstrafen, §§ 43 Abs. 1, 42 Abs. 2 Nr. 7 BDSG. Ein wesentliches Ziel dieser Vorschrift ist es, Betroffene bei Datenschutzverletzungen vor möglichen Beeinträchtigungen zu schützen und für eine effektivere Durchsetzung datenschutzrechtlicher Regelungen zu sorgen.535

408

Voraussetzung der Informationspflicht nach § 42a BDSG ist, dass die verantwortliche Stelle anhand von tatsächlichen Anhaltspunkten feststellt,536 dass bei der verantwortlichen Stelle gespeicherte personenbezogene Daten Dritten unrechtmäßig zur Kenntnis gelangt sind.537 Das kann in der Praxis durch das eigene Sicherheitsmanagement oder auch durch entsprechende Hinweise von Strafverfolgungsorganen geschehen. Zudem müssen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Konkret lautet § 42a BDSG:

„Stellt eine nicht-öffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte

  1. besondere Arten personenbezogener Daten (§ 3 Absatz 9),
  2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
  3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
  4. personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. Eine Benachrichtigung, die der Benachrichtigungspflichtige erteilt hat, 177 darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen ihn oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Benachrichtigungspflichtigen nur mit Zustimmung des Benachrichtigungspflichtigen verwendet werden.“

409

Der Gesetzestext von § 42a BDSG ist schwer verständlich abgefasst. Zwar wäre es begrüßenswert gewesen, wenn der Gesetzgeber sich die Mühe gemacht hätte, die Norm verständlicher zu gestalten. Allerdings kann man bei genauem Hinsehen dennoch diejenigen Punkte herausarbeiten, auf die es beim Umgang mit § 42a BDSG in der Datenschutzpraxis ankommt.

II. Welche Voraussetzungen hat § 42a Satz 1 BDSG?

410

§ 42a Abs. 1 BDSG zählt die konkreten Tatbestandsmerkmale auf, bei deren Vorliegen Unternehmen im Rahmen eines Abflusses von Daten unverzüglich tätig werden müssen. Im Kern geht es darum, dass die verantwortliche Stelle dann eine Informationspflicht hat, wenn sie feststellt, dass Risikodaten538 Dritten unrechtmäßig zur Kenntnis gelangt sind und hierdurch schwerwiegende Nachteile für die von der Datenpanne Betroffenen drohen.

1. Unrechtmäßige Kenntniserlangung durch Dritte

411

Erste Voraussetzung ist ein Abfluss von Daten, der nicht den Anforderungen des BDSG entspricht. Das Gesetz formuliert dies in etwa so: „Stellt eine verantwortliche Stelle fest, dass bei ihr gespeicherte“ kritische Daten „unrechtmäßig übermittelt oder auf sonstige Weise unrechtmäßig zur Kenntnis gelangt sind“, muss sie handeln.

412

Die unrechtmäßige Übermittlung an Dritte ist nach dem Wortlaut des Gesetzes nur ein möglicher Fall einer unrechtmäßigen Kenntniserlangung. Eine Übermittlung erfordert nach § 3 Abs. 4 Satz 2 Nr. 3 BDSG stets ein Handeln der verantwortlichen Stelle, nämlich das aktive Weitergeben an einen Dritten oder das Bereithalten zur Einsicht oder zum Abruf durch einen Dritten. Die Kenntniserlangung durch Dritte geht weiter und ist nicht auf das aktive zielgerichtete Übermitteln von Informationen beschränkt. Damit umfasst der Tatbestand von § 42a BDSG insbesondere noch einen weiteren praxisrelevanten Fall, nämlich den des sogenannten Datendiebstahls.

178 Beispielsfall: Eine professionell operierende Einbrecherbande arbeitet eng mit einem Computerspezialisten zusammen, der sich mit der Überwindung von IT-Sicherungssystemen auskennt. Dieser Hacker überwindet die Sicherheitssperren eines kleinen Versicherungsunternehmens und verschafft sich unter Überwindung von elektronischer Zugangssicherung und Passwortsperre über einen Remote-Zugang Zugriff zu den Datenbanken des Unternehmens. Er speichert eine Vielzahl von Informationen über die Kunden der Versicherung auf seinem eigenen Rechner. Vor allem die Hausratversicherungen haben es ihm angetan. Die in den Datenbanken über die Kunden mit Hausratversicherungen gespeicherten Aufstellungen über versicherte Wertgegenstände, die die Kunden zu Hause aufbewahren, gibt er an die Einbrecherbande weiter. Am Folgetag stellt der Systemadministrator den illegalen Zugriff fest. Der Systemadministrator informiert sofort den für IT und Datenschutz zuständigen Vorstand.

413

Der im Beispielsfall geschilderte Datenzugriff durch den Hacker stellt eine unrechtmäßige Kenntniserlangung nach § 42a BDSG dar. Die Versicherung ist eine nicht-öffentliche Stelle im Sinne von § 2 Abs. 4 BDSG und unterfällt damit dem Anwendungsbereich von § 42a BDSG. Versicherungen unterliegen nach § 203 Abs. 1 Nr. 6 StGB einem Berufsgeheimnis. Damit handelt es sich bei den fraglichen Versichertendaten um Risikodaten im Sinne von § 42a Satz 1 Nr. 2 BDSG. Diese sind auch unrechtmäßig zur Kenntnis gelangt. Denn vorliegend fehlt es an einer Erlaubnis im Sinne von § 4 Abs. 1 BDSG für das Verhalten des Hackers. Das Verhalten des Hackers stellt zudem ein nach § 202a StGB strafbares Ausspähen von Daten dar. Etwas schwieriger ist die Frage zu beantworten, ob den Betroffenen Versicherten durch die Datenpanne auch „schwerwiegende Beeinträchtigungen“ nach § 42a Satz 1 BDSG drohen. Aufgrund der Art und der Menge der abhanden gekommenen Daten spricht vieles für diese Annahme. Damit wäre der Tatbestand des § 42a Abs. 1 Satz 1 BDSG erfüllt.

Weitere Beispiele: In der Unternehmenspraxis kommt es oftmals zu einer unrechtmäßigen Kenntniserlangung durch Dritte wegen versehentlichem Verlust oder Diebstahl von Datenträgern ( z.B. USB-Sticks, CD-ROMs, externen Harddisks, Disketten) oder tragbaren Rechnern. Noch häufiger ist wohl der geradezu klassische Fall der versehentlich an einen falschen Empfänger geschickten E-Mail.

414

Die Kenntniserlangung muss zudem unrechtmäßig sein. Das Gesetz bestimmt nicht näher, was § 42a BDSG als „unrechtmäßig“ ansieht. Auch die Gesetzesbegründung539 bestimmt den Begriff nicht näher. Gemeint ist wohl, dass 179 der Datenabfluss nicht im Einklang mit der Rechtsordnung ist – also gegen geltendes Recht verstößt. Dies ist vor allem dann der Fall, wenn die Kenntniserlangung nicht den Anforderungen des BDSG entspricht, beispielsweise weil die nach § 4 Abs. 1 BDSG erforderliche Rechtsvorschrift oder Erlaubnis nicht vorliegt. Auch eine Kenntniserlangung im Rahmen von Straftaten nach §§ 201 bis 206 StGB im Rahmen von § 42a BDSG ist grundsätzlich als unrechtmäßig anzusehen.

2. Feststellung der Datenpanne

415

Unternehmen müssen tätig werden, sobald sie eine unrechtmäßige Kenntniserlangung feststellen. Auf ein Verschulden der verantwortlichen Stelle an der Übermittlung oder dem Datenabfluss kommt es nach dem Wortlaut des Gesetzes nicht an.540 Auch im Rahmen einer Auftragsdatenverarbeitung bleibt die verantwortliche Stelle selbst zur Information verpflichtet, nicht der Auftragnehmer. Allerdings muss der Auftragnehmer nach § 11 Abs. 2 Satz 2 Nr. 8 BDSG die verantwortliche Stelle informieren, falls er Datenpannen feststellt.

416

Das Unternehmen muss den oder die Dritten, die unrechtmäßig von den Risikodaten Kenntnis erlangt haben, nicht kennen.541 Der Wortlaut von § 42a BDSG knüpft nur an die Kenntnis des Datenabflusses an.

3. Relevante Datenarten nach § 42a Satz 1 Nr. 1–4 BDSG

417

§ 42a Satz 1 BDSG zählt abschließend auf, welche Daten eine Informationspflicht der verantwortlichen Stelle auslösen können. Es handelt sich hierbei um Daten, die der Gesetzgeber als potenziell schutzwürdiger einstuft als „normale“ personenbezogene Daten.542 Bei diesen Risikodaten besteht die abstrakte Gefahr, dass Rechte oder schutzwürdige Interessen der Betroffenen schwerwiegend beeinträchtigt werden, wenn eine Sicherheitsverletzung eintritt.543

418

Wie der nachstehende Überblick zeigt, handelt es sich um eine sehr weite Auswahl an personenbezogenen Daten. Daher sollte man stets beachten, dass eine unrechtmäßige Kenntniserlangung der hier genannten Daten nur dann eine Informationspflicht auslöst, wenn den Betroffenen schwerwiegende Beeinträchtigungen drohen.

180 a) Besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG
419

§ 42a Satz 1 Nr. 1 BDSG bezieht sich auf sensible Daten nach § 3 Abs. 9 BDSG. Dies umfasst Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben ( vgl. Rn. 96 f.).

b) Personenbezogene Daten, die einem Berufsgeheimnis unterliegen
420

Eine Vielzahl von Berufen, die einem Berufsgeheimnis unterliegen, sind in § 203 Abs. 1 StGB aufgeführt. Einige Beispiele sind Ärzte, Apotheker, Psychologen, Rechtsanwälte, Notare, Wirtschaftsprüfer, Steuerberater und Angehörige von Unternehmen oder privaten Kranken-, Unfall- oder Lebensversicherungen. Bei Daten, die einem solchen Berufsgeheimnis unterliegen, gilt nach § 39 BDSG zudem ein strengerer Zweckbindungsgrundsatz als nach § 28 Abs. 1 Satz 2 BDSG.544

421

Nicht um ein Berufsgeheimnis handelt es sich hingegen beim gesetzlich nicht geregelten Bankgeheimnis545 oder beim Datengeheimnis nach § 5 BDSG.546

c) Personenbezogene Daten, die im Zusammenhang mit Straftaten oder Ordnungswidrigkeiten stehen
422

Personenbezogene Daten, die sich auf Straftaten oder Ordnungswidrigkeiten beziehen, können die Informationspflicht nach § 42a BDSG auslösen. Dies gilt nach dem klaren Wortlaut von § 42a Satz 1 Nr. 3 BDSG auch für Daten, die den bloßen Verdacht einer Straftat oder einer Ordnungswidrigkeit betreffen.

Beispiele: Angaben über Vorstrafen, Bundeszentralregisterauszüge (besser bekannt als Führungszeugnisse), Strafanzeigen, die Verhängung von Bußgeldern usw. Auch der Verdacht, dass jemand falsch geparkt haben oder zu schnell gefahren sein könnte, fällt unter diese Regelung.547

423

Da auch Angaben über mögliche Ordnungswidrigkeiten betroffen sind, wird man richtigerweise einen zumindest einigermaßen konkreten Verdacht einer Straftat oder Ordnungswidrigkeit fordern müssen. Hier kann man sich etwa an der entsprechenden Formulierung aus § 32 Abs. 1 Satz 2 BDSG orientie 181 ren. Es sollten also „tatsächliche Anhaltspunkte den Verdacht begründen“, dass eine Straftat oder Ordnungswidrigkeit begangen wurde.

d) Personenbezogene Daten zu Bank- oder Kreditkartenkonten
424

Bei personenbezogenen Daten zu Bank- oder Kreditkartenkonten geht es im Wesentlichen um Informationen über Konten oder Transaktionen, bei denen der Kontoinhaber identifizierbar ist. Statistische oder zusammengefasste Angaben, mittels derer der einzelne Kontoinhaber nicht zu erkennen ist, sind keine personenbezogenen Daten und können eine Informationspflicht in der Regel nicht auslösen. Etwas anderes gilt allerdings, wenn der Empfänger der Kontodaten über technische Mittel oder entsprechendes Zusatzwissen verfügt, um die einzelnen Kontoinhaber zu bestimmen.

4. Drohende schwerwiegende Beeinträchtigungen

425

Wie die bisherigen Erläuterungen zeigen, ist mit unrechtmäßiger Kenntniserlangung eine Vielzahl von praxisrelevanten und häufigen Vorgängen betroffen. Auch die in § 42a BDSG genannten Arten von personenbezogenen Daten betreffen ein weites Feld von Informationen – darunter eine Vielzahl von etwa im Banken- und Versicherungswesen genutzten Angaben. Daher ist die Anforderung, dass „schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen“ drohen müssen, von besonderer Bedeutung für den Umgang mit § 42a BDSG im Wirtschaftsleben.

a) Schwere der drohenden Beeinträchtigungen
426

§ 42a Satz 1 BDSG konkretisiert nicht, was unter den geforderten drohenden schwerwiegenden Beeinträchtigungen zu verstehen ist. Die Gesetzesbegründung enthält zur dieser Frage nur einen einzigen Satz. Demnach bestimmt sich die Schwere einer Beeinträchtigung „unter anderem nach der Art der betroffenen Daten und den potenziellen Auswirkungen der unrechtmäßigen Kenntniserlangung durch Dritte auf die Betroffenen ( z.B. materielle Schäden bei Kreditkarteninformationen oder soziale Nachteile einschließlich des Identitätsbetrugs).“ Diese Feststellung erleichtert die Rechtsanwendung nicht erheblich.

427

Maßgeblich sollen nach dem Willen des Gesetzgebers die drohenden Auswirkungen der unrechtmäßigen Kenntniserlangung auf den Betroffenen sein. Bei der Kenntniserlangung über Kreditkarteninformationen müssen demnach potenzielle materielle Schäden eine drohende schwerwiegende Beeinträchtigung darstellen. Es bleibt zu hoffen, dass Gerichte und Aufsichtsbehörden sich auf den Standpunkt stellen werden, dass geringfügige materielle Schäden 182 keine Informationspflicht auslösen. Auch der Begriff der sozialen Nachteile ist ausgesprochen ungenau. Allerdings muss der Nachteil nach dem Wortlaut des Gesetzes ja schwerwiegend sein. Die sozialen Nachteile müssen daher richtigerweise ein gewisses Gewicht haben.

428

Es wäre zweckmäßig gewesen, wenn der Gesetzgeber zumindest in der Gesetzesbegründung diesen überaus wichtigen Punkt näher geklärt hätte. Man darf hoffen, dass Aufsichtsbehörden und Gerichte diese Lücke bald schließen. Da bereits das Drohen einer Beeinträchtigung die Informationspflicht auslöst, muss man zudem fragen, wie groß das konkrete Risiko einer Beeinträchtigung im konkreten Fall sein muss – wie wahrscheinlich es also sein muss, dass es zu Beeinträchtigungen der Betroffenen kommt.548 Auch dies ergibt sich weder aus dem Wortlaut von § 42a BDSG noch aus der Gesetzesbegründung.

b) Beurteilungsspielraum des Unternehmens
429

Nach § 43 Abs. 2 Nr. 7 in Verbindung mit Abs. 3 BDSG kann es mit einer Geldbuße von bis zu 300.000 Euro geahndet werden kann, wenn man „entgegen § 42a Satz 1 BDSG eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht“. In Anbetracht der drastischen drohenden Rechtsfolge und der teilweise recht unbestimmten Tatbestandsmerkmale wird man Unternehmen bei der Beurteilung der Rechtslage jedenfalls solange einen weiten Beurteilungsspielraum einräumen müssen, bis es eine gefestigte Rechtsprechung zu § 42a BDSG gibt.

Praxistipp: Wenn ein Unternehmen eine Datenpanne entdeckt, die möglicherweise einen Verstoß gegen § 42a BDSG darstellt, muss die Frage, ob den Betroffenen schwerwiegende Beeinträchtigungen drohen, schnell geklärt werden. In einer solchen Situation ist es oftmals hilfreich, sehr zeitnah ein Rechtsgutachten einzuholen, bevor man über eine Benachrichtigung der Aufsichtsbehörden und der Betroffenen entscheidet. Sofern nicht völlig klar auf der Hand liegt, dass alle Voraussetzungen von § 42a Satz 1 BDSG erfüllt sind, führt das Einholen von Rechtsrat nicht zu einer nicht rechtzeitigen Mitteilung.

183 III. Was sind die Rechtsfolgen von § 42a Satz 1 BDSG?

430

Wenn ein Unternehmen eine mögliche Datenpanne entdeckt, muss es tätig werden. In einem ersten Schritt muss es feststellen, ob die Voraussetzungen von § 42a BDSG vorliegen. Hierbei ist unbedingt und möglichst sofort der betriebliche Datenschutzbeauftragte einzubinden.549 In vielen Fällen kann darüber hinaus auch die Beteiligung von Unternehmensjuristen oder externen Beratern zweckmäßig sein.

Praxistipp: Grundsätzlich müssen Unternehmen die zuständige Aufsichtsbehörde unverzüglich informieren – also ohne schuldhaftes Zögern.550 Die Betroffenen sind gemäß § 42a Satz 2 BDSG erst dann zu unterrichten, wenn das Unternehmen angemessene Maßnahmen zur Sicherung seiner Daten abgeschlossen hat. Faktisch muss das Unternehmen daher die Aufsichtsbehörde vor den Betroffenen informieren.551 Diese zeitliche Abfolge kann sich das Unternehmen zu Nutze machen, um mit der Aufsichtsbehörde darüber zu sprechen, ob eine konkrete Datenpanne tatsächlich zu drohenden schwerwiegenden Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen geführt hat. Im Rahmen der Abstimmung mit der Aufsichtsbehörde empfiehlt es sich daher, nicht unbedingt einen Verstoß gegen § 42a BDSG zu melden, sondern ihr den Sachverhalt zu schildern und sie um Auskunft über ihre Bewertung der Datenpanne zu bitten. Nach § 38 Abs. 1 Satz 2 BDSG ist die Aufsichtsbehörde dazu verpflichtet, Unternehmen zu Fragen des Datenschutzes zu beraten und zu unterstützen ( vgl. Rn. 543 f.). Bei einer solchen Vorgehensweise ist es ratsam, der Aufsichtsbehörde Argumente mitzuteilen, die gegen die Annahme der für eine Informationspflicht erforderlichen schwerwiegenden Beeinträchtigungen sprechen.

1. Information der Aufsichtsbehörde

431

Liegt nach Prüfung der Voraussetzungen von § 42a Satz 1 BDSG tatsächlich eine Informationspflicht vor, so muss das Unternehmen die Aufsichtsbehörde hiervon unverzüglich zu informieren. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss nach § 42a Satz 3 BDSG zunächst eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen für den Betroffenen enthalten. Zudem muss das Unternehmen die Aufsichtsbehörde gemäß § 42a Satz 4 BDSG über mögliche nachteiliger Folgen der unrechtmäßigen Kennt 184 niserlangung und die daraufhin ergriffenen Maßnahmen unterrichten. Verspätete Meldungen werden nach § 43 Abs. 2 Nr. 7 in Verbindung mit Abs. 3 BDSG mit einer Geldbuße von bis zu 300.000 Euro geahndet.

2. Information der Betroffenen

432

Sobald die verantwortliche Stelle angemessene Maßnahmen zur Sicherung ihrer Daten unternommen hat, muss sie gemäß § 42a Satz 2 BDSG auch die von der Datenpanne Betroffenen unterrichten. Falls das Unternehmen keine unverzüglichen Schritte zur Sicherung ihrer Daten unternimmt, löst auch dies die Informationspflicht gegenüber den Betroffenen aus. Wenn es bei den Risikodaten um personenbezogene Daten im Zusammenhang mit einer Straftat geht, kann die verantwortliche Stelle allerdings so lange abwarten, bis die Strafverfolgung nicht mehr gefährdet ist. Denn Benachrichtigung ist nach § 42a Satz 2 BDSG erst dann vorgeschrieben, „wenn die Strafverfolgung nicht mehr gefährdet wird“.

Die Benachrichtigung der Betroffenen muss nach § 42a Satz 3 BDSG zumindest eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen für den Betroffenen umfassen. Soweit die Benachrichtigung aller Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, kann das Unternehmen auch die Öffentlichkeit informieren. Unternehmen können die Öffentlichkeit durch halbseitige Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen informieren. Auch andere Maßnahmen sind nach § 42a Satz 5 BDSG dann zulässig, wenn diese die Betroffenen ebenso wirksam unterrichten.

Praxistipp: Die Datenschutz-Affären der vergangenen Jahre haben gezeigt, dass Versäumnisse im Umgang mit dem BDSG eine enorme Öffentlichkeitswirkung entfalten können. Daher sollten Unternehmen genau darauf achten, derartige Rufschäden nach Möglichkeit zu vermeiden. Zum einen sind hierfür präventive Maßnahmen sinnvoll, z.B. Verschlüsselung von E-Mails, die Risikodaten enthalten, Passwortsicherungen für USB-Sticks und Festplatten sowie ähnliche organisatorische und technische Maßnahmen. Zudem sind zumindest Mitarbeiter in sensiblen Bereichen durch Richtlinien, Trainings und andere Maßnahmen über die Risiken von Datenpannen und die Möglichkeiten zu deren Vermeidung zu informieren.

433

Ferner sollten Unternehmen auch prüfen, welche organisatorischen Maßnahmen552 nötig sind, um angemessen zu reagieren, falls es tatsächlich zu Datenpannen kommt. Die Entscheidungsträger müssen in die Lage versetzt werden, 185 zeitnah und verlässlich festzustellen, ob die Voraussetzungen einer Informationspflicht vorliegen. Hier empfiehlt sich die Einführung eines Systems zur Erfassung der im Hinblick auf § 42a BDSG relevanten Datenverarbeitungsprozesse und die Schaffung von Informationsstrukturen für den Ernstfall. Denn auch die Art und Weise der Benachrichtigung ist fehlerträchtig. Wie bereits dargestellt, kann eine fehlende, unrichtige, unvollständige oder nicht rechtzeitige Benachrichtigung, mit Geldbuße bis 300.000 Euro pro Fall geahndet werden ( vgl. Rn. 406). Verstöße gegen die Informationspflicht können zudem Schadensersatzansprüche der Betroffenen begründen.

Praxistipp: Spätestens im Falle eines bestätigten Datenverlustes zeigt sich die wahre Qualität des Verhältnisses zwischen dem Unternehmen und der für dieses zuständigen Datenschutzaufsichtsbehörde. Ein nachhaltiges und durch persönliche Beziehungen gepflegtes, von Offenheit und gegenseitigem Respekt geprägtes Arbeitsverhältnis erlaubt es dem Unternehmen zum Beispiel auch einmal, sich über seinen Datenschutzbeauftragten bei einem möglichen § 42a-Fall eine zusätzliche Meinung bei der rechtlichen Bewertung des Falles einzuholen, ohne damit gleich ungerechtfertigte behördliche Aufmerksamkeit zu erregen und damit unter Umständen sogar den Interessen des Unternehmens zu schaden.553 In Zweifelsfällen sollten aber stets auf das Datenschutzrecht spezialisierte Berater hinzugezogen werden.

434

Die Erfüllung der datenschutzrechtlichen Benachrichtigungspflichten hat im Übrigen auch eine mögliche strafprozessuale Bedeutung: Benachrichtigung, die ein Benachrichtigungspflichtiger im Namen seines Unternehmens erteilt hat, dürfen nach § 42a Satz 7 BDSG in einem Straf- oder OWiG-Verfahren nur mit seiner Zustimmung gegen ihn oder einen in § 52 Abs. 1 der Strafprozessordnung bezeichneten Angehörigen verwendet werden.

435

Checkliste zu § 42a BDSG

img

531 Vgl. Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, § 42a Rn. 2.
532 Vgl. zum Begriff der Datenpanne Gabel, in: Taeger/Gabel, BDSG, § 42a Rn. 7.
533 Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, § 42a Rn. 2.
534 § 42a BDSG gilt nur für nicht-öffentliche Stellen im Sinne von § 2 Abs. 4 BDSG und für öffentliche Wettbewerbsunternehmen gemäß § 27 Abs. 1 Satz 1 Nr. 2b BDSG.
535 Vgl. Gabel, BB 2009, 2045, 2046.
536 BT-Drs. 16/12011, S. 34.
537 BT-Drs. 16/12011, S. 34.
538 Mit Risikodaten sind personenbezogene Daten im Sinne von § 42a Satz 1 Nrn. 1 – 4 BDSG gemeint, vgl. Gabel, BB 2009, 2045, 2046; Hanloser, MMR 2009, 594, 598.
539 BT-Drs. 16/12011.
540 So auch Gabel, BB 2009, 2045, 2046.
541 So auch Gabel, BB 2009, 2045, 2046.
542 Gemeint sind personenbezogene Daten nach § 3 Abs. 1 BDSG.
543 Hanloser, MMR 2009, 594, 598.
544 Vgl. zu den Einzelheiten zu § 39 BDSG Mackenthun, in: Taeger/Gabel, BDSG, § 39 Rn. 1 ff.
545 Vgl. oben Rn. 424.
546 Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, § 39 Rn. 1.
547 Allerdings dürften in diesen Fällen nur selten schwerwiegende Beeinträchtigungen der Rechte oder schutzwürdigen Interessen der Betroffenen drohen.
548 Gabel, in: Taeger/Gabel, BDSG, § 42a Rn. 20, regt hierzu einen Rückgriff auf die Grundsätze des Gefahrenabwehrrechts an.
549 BT-Drs. 16/12011, S. 34.
550 Vgl. § 121 Abs. 1 BGB.
551 So auch Gabel, in: Taeger/Gabel, BDSG, § 42a Rn. 23.
552 Teilweise wird dies auch als Data-Breach-Notification-Management-Systeme bezeichnet.
553 Eine Übersicht über Meldungen nach § 42a BDSG (Stand: 31.12.2011) mit Angabe, ob eine Informationspflicht bejaht wurde, enthält der Vierzigste Tätigkeitsbericht des Hessischen Datenschutzbeauftragten, LT-Drs. 18/5409, S. 164 ff.; zu weiteren Praxisfällen siehe Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2009/2010, S. 96 f.; XX. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Niedersachsen für die Jahre 2009/2010, LT-Drs. 16/4240, S. 34 f.; Jahresbericht BlnBDI 2010, S. 169 ff.
 
stats