Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
BILD Marktplatz
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
clicksale
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
Flow Shopsoftware
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage ohne Verkauf
Hood
Hornbach
Hosting
Hosting B2B
Impressum für Webseiten
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Marktplätze
Kaufland DE,CZ,SK
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Leroy Merlin
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OnlyFans
OpenCart
Otto
Oxid-Shops
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
DE Shop - Online-Kurse (live oder on demand) DE
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
SumUp
Teilehaber.de
Tentary
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
Voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
Zoho
ZVAB

Datenschutz-Informationspflichten bei Datenpannen nach § 42a BDSG („Data Breach Notifications“)

03.01.2013, 12:28 Uhr | Lesezeit: 5 min
von Dr. Sebastian Kraska
Datenschutz-Informationspflichten bei Datenpannen nach § 42a BDSG („Data Breach Notifications“)

Stellen Unternehmen fest, dass als besonders schutzwürdig definierte Daten (z.B. Gesundheitsdaten, Konto- und Kreditkarteninformationen) unrechtmäßig an Dritte gelangt sein können (z.B. durch einen Hackerangriff oder beispielsweise den Diebstahl eines unverschlüsselten Laptops), müssen diese die Datenschutz-Aufsichtsbehörde und die Betroffenen informieren. Der folgende Beitrag gibt einen Überblick über die rechtlichen Rahmenbedingungen dieser Datenschutz-Informationspflichten.

Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter und Herrn Diplom-Jurist Michael Stolze, LL.M. LL.M.

Hintergrund

Die Meldepflicht nach § 42a BDSG wurde 2009 im Rahmen der Novellierung des Bundesdatenschutzgesetzes (BDSG) eingeführt. Sie knüpft an einen entsprechenden Vorschlag der Europäischen Kommission aus dem Jahr 2007 an, um eine Ausweitung des Schutzes der Privatsphäre und der personenbezogenen Daten der Bürger in der elektronischen Kommunikation zu erreichen. Die Kommission schlug hierzu u.a. die Einführung einer Meldepflicht für Datensicherheitsverstöße vor, wie es mit den „Security Breach Notification Laws“ in den USA schon länger Praxis ist.

Adressat der Informationspflicht

§ 42a BDSG richtet sich an Unternehmen (§ 2 Abs. 4 BDSG) und ihnen datenschutzrechtlich gleichgestellte öffentlich-rechtliche Wettbewerbsunternehmen (§ 27 Abs. 1 Satz 1 Nr. 2 BDSG).

Banner Premium Paket

Rahmen der Informationspflicht

Die Informationspflicht greift zunächst nur bei dem Verlust als besonders schutzwürdig definierter Daten. Dies sind
(a) die sog. sensiblen Daten nach § 3 Abs. 9 BDSG („Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben“),
(b) personenbezogene Daten, welche einem Berufsgeheimnis unterliegen oder sich
(c) auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen sowie
(d) personenbezogene Daten zu Bank- oder Kreditkartenkonten.

Es spielt dabei keine Rolle, auf welche Weise Dritte Kenntnis erlangten, solange dies unrechtmäßig geschah, was der Fall ist, wenn die Betroffenen nicht zugestimmt haben und die Offenbarung weder durch Gesetz noch durch eine sonstige Rechtsvorschrift erlaubt ist.

Neben der unrechtmäßigen Kenntniserlangung durch Dritte müssen auch noch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Dies hängt von den Umständen des jeweiligen Einzelfalls ab. Wichtige Kriterien hierfür sind die Art der betroffenen Daten und die potenziellen Auswirkungen der Kenntniserlangung durch Dritte auf die Betroffenen (z. B. materielle Schäden bei Kreditkarteninformationen oder soziale Nachteile einschließlich des Identitätsbetrugs).

Auslöse-Schwelle der Informationspflicht

Das Unternehmen muss anhand von tatsächlichen Anhaltspunkten die Entscheidung treffen, ob ein meldepflichtiger Datenverlust eingetreten sein könnte. Eine sichere Feststellung ist nicht erforderlich. Ausreichend ist, wenn anhand von tatsächlichen Anhaltspunkten mit einer gewissen Wahrscheinlichkeit davon ausgegangen werden kann, dass die Daten unrechtmäßig in die Hände Dritter gelangt sein könnten.
Die tatsächlichen Anhaltspunkte können z. B. aus dem eigenen Sicherheitsmanagement stammen oder auch von Hinweisen durch Strafverfolgungsbehörden oder Datenschutzbeauftragten herrühren.

Unverzügliche Offenlegung

Die Offenlegungspflicht gilt gegenüber der zuständigen Datenschutz-Aufsichtsbehörde und den Betroffenen.
Information der Aufsichtsbehörden: Stellt eine von § 42a BDSG verpflichtete Stelle einen relevanten Datenverlust fest, dann hat sie dies der zuständigen Datenschutz-Aufsichtsbehörde unverzüglich (dies bedeutet „ohne schuldhaftes Zögern“, vgl. § 121 BGB) nach Bekanntwerden des Vorfalls mitzuteilen.
Die Information der Betroffenen hat unverzüglich zu erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden sind und/oder die Strafverfolgung nicht mehr gefährdet wird.

Empfehlungen zur Schadensminimierung

§ 42a Satz 4 BDSG verlangt im Rahmen der Benachrichtigung neben einer Darlegung der Art der unrechtmäßigen Kenntniserlangung auch Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen. Auch dies entspricht der genannten Empfehlung der Europäischen Kommission, welche über eine solche Empfehlung wirtschaftliche Schäden und soziale Nachteile so gering wie möglich halten möchte.

Unverhältnismäßiger Aufwand der Einzelbenachrichtigungen

Soweit die Information der Betroffenen einen unverhältnismäßigen Aufwand erfordert (insbesondere durch die Vielzahl der Fälle), tritt an ihre Stelle die Information der Öffentlichkeit. § 42a Satz 5 BDSG legt zwar keinen konkreten Informationskanal fest, doch verdeutlicht der Gesetzgeber welche Art Informationsweg er sich grundsätzlich vorstellt. So soll die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen informiert werden oder durch eine andere, in ihrer Wirksamkeit gleich geeigneten Maßnahme.

Spannungsverhältnis von Benachrichtigungspflicht und Selbstbezichtigungsverbot

Verstößt ein Benachrichtigungsverpflichteter gegen seine Pflicht aus § 42a BDSG, dann begeht er eine Ordnungswidrigkeit (§ 43 Abs. 2 Nr. 6 BDSG) und unter Umständen auch eine Straftat (§ 44 Abs. 1 BDSG). Der strafprozessuale Grundsatz, dass niemand sich selbst zu bezichtigen hat (nemo tenetur prodere se ipsum), führt hier zu einer Kollision für den Informationspflichtigen. Gemäß § 42a Satz 6 BDSG sieht der Gesetzgeber vor, dass die Benachrichtigung bzw. die darin enthaltenen Informationen in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten nicht ohne den Willen des Benachrichtigungspflichtigen verwendet werden dürfen. Gemäß § 43 Abs. 2 Nr. 7, Abs. 3 BDSG droht ein Bußgeld von bis zu 300.000 Euro für den Fall, dass eine Benachrichtigung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt.

Ausweitung von Informationspflichten

Der Gesetzgeber verankert die Informationspflicht nach § 42a BDSG auch mittelbar in anderen Gesetzen. Damit wird sukzessive der Rahmen der meldepflichtigen Vorfälle erweitert.

§ 93 Abs. 3 Telekommunikationsgesetz (TKG) verweist auf § 42a BDSG für den Fall, dass Bestands- und Verkehrsdaten (vgl. § 3 Nr. 3 und Nr. 30 TKG) unrechtmäßig zur Kenntnis Dritter gelangen. Adressat der Informationspflicht ist jeder Diensteanbieter (§ 3 Nr. 6 TKG) .

Entsprechendes gilt nach § 15a Telemediengesetz (TMG) für Bestands- und Nutzungsdaten nach §§ 14 und 15 TMG und im Sozialrecht gemäß § 83a Sozialgesetzbuch (SGB) X für Sozialdaten nach § 67 Abs. 12 SGB X.

Fazit

§ 42a BDSG (und auf diese Vorschrift verweisende Normen) legt Unternehmen im Fall des begründeten Verdachts über den Verlust von als besonders schutzwürdig definierten Daten die Pflicht auf, die Datenschutz-Aufsichtsbehörde und die Betroffenen zu informieren. Unternehmen sollten dieser Informationspflicht mit technischen und organisatorischen Maßnahmen entgegenwirken (z.B. Einsatz von Verschlüsselungstechnik). Ferner sollten Unternehmen Prozesse etablieren, um etwaige Informationsverpflichtungen zur Meidung ordnungs- und strafrechtlicher Sanktionen zu erkennen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© Texelart - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Fotographische Kundentestimonials im Internet: Rechtliche Voraussetzungen + Muster-Einwilligungserklärung
(23.04.2020, 12:02 Uhr)
Fotographische Kundentestimonials im Internet: Rechtliche Voraussetzungen + Muster-Einwilligungserklärung
Interview mit Dr. Kraska vom IITR Datenschutz: „Mit mehr Kontrollen ist im Datenschutz bald zu rechnen“
(01.08.2019, 09:54 Uhr)
Interview mit Dr. Kraska vom IITR Datenschutz: „Mit mehr Kontrollen ist im Datenschutz bald zu rechnen“
Datenschutz: Auswirkungen der EU-Datenschutzgrundverordnung
(27.01.2016, 09:16 Uhr)
Datenschutz: Auswirkungen der EU-Datenschutzgrundverordnung
Wer weiß was über mich? Das Recht auf Selbstauskunft
(23.01.2014, 07:24 Uhr)
Wer weiß was über mich? Das Recht auf Selbstauskunft
Datenschutz-Vereinbarung mit Steuerberatern
(10.12.2013, 15:43 Uhr)
Datenschutz-Vereinbarung mit Steuerberatern
Datenschutz-Listenprivileg: Ende der Übergangsfrist
(20.11.2012, 16:46 Uhr)
Datenschutz-Listenprivileg: Ende der Übergangsfrist
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei