Zur Navigation springen Zum Inhalt springen Zum Footer springen

Datenpanne und § 42a BDSG

Rechtstipp vom 21.07.2014
(1)
Rechtstipp vom 21.07.2014
(1)

Eine Datenpanne kann durchaus vorkommen, allerdings muss darauf rechtlich sicher reagiert werden. Das deutsche Datenschutzgesetz gibt Anweisungen, was zu tun ist.

Von einer Datenpanne spricht man, wenn personenbezogene Daten einer öffentlichen oder nichtöffentlichen Stelle ungewollt an einen Dritten gelangt sind. Dies kann verschiedene Ursachen haben, beispielsweise durch Hacking-Angriffe, bloßen Diebstahl von Datenträgern, falsches Versenden oder fachlich falsche Entsorgung von Datenträgern. Unternehmen sind stets darum bemüht, solche Pannen zu vermeiden, denn der Imageschaden ist gewaltig – die deutsche Öffentlichkeit reagiert empfindlich auf solche Datenpannen und die Unternehmen spüren sofort marktrelevante Konsequenzen.

Auch können im Einzelfall Bußgelder durch die datenschutzrechtlichen Aufsichtsbehörden drohen, die eine unangenehme Höhe erreichen können. Grundsätzlich sollte ein Unternehmen dazu übergehen, alle Mitarbeiter für das Thema zu sensibilisieren. Denn nur so kann erstens eine Panne vermieden und zweitens, falls schon geschehen, der Schaden möglichst gering gehalten werden.

§ 42a BDSG als gesetzliche Pflicht

Im Bundesdatenschutzgesetz (BDSG) findet sich eine Vorschrift, die genau dieses Thema behandelt. Dort heißt es, dass eine nichtöffentliche oder öffentliche Stelle, soweit sie eine Datenpanne feststellt, unverzüglich die zuständige Aufsichtsbehörde und die Betroffenen aufzuklären hat. Die Benachrichtigung muss ohne schuldhaftes Zögern erfolgen und Informationen über die Art der unrechtmäßigen Kenntniserlangung sowie Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen beinhalten. An die Aufsichtsbehörde müssen zusätzlich Informationen zu den von der verarbeitenden Stelle ergriffenen Maßnahmen und eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung enthalten. Hier wird besonderer Wert auf die Unverzüglichkeit gelegt, damit größerer Schaden abgewendet werden kann. Auch werden genaue Ausführungen darüber getroffen, wie eine verantwortliche Stelle die Öffentlichkeit per Anzeigen zu informieren hat.

Hierbei ist wichtig, zu erkennen, dass § 42a BDSG in jedem Fall greift, in dem personenbezogene Daten abhandengekommen sind – ganz gleich, ob dies durch die datenverarbeitende Stelle selbst verantwortet ist oder durch Dritte erfolgte. Es geht nicht um eine Schuldzuweisung, sondern um eine unverzügliche Einschaltung der Aufsichtsbehörde, um diejenigen zu schützen, deren personenbezogene Daten nun im Umlauf sind.

§ 42a BDSG listet dabei auf, welche personenbezogenen Daten von der Meldepflicht bei einer Panne umfasst sind. Dies sind besondere Arten von personenbezogenen Daten gem. § 3 Abs. 9 BDSG, personenbezogene Daten, die einem Berufsgeheimnis unterliegen sowie solche, die sich auf strafbare Handlungen von Bank- und Kreditkartenkonten beziehen.

Auftragsdatenverarbeitung beachten!

Es sollte auch beachtet werden, dass im Wege der Auftragsdatenverarbeitung gem. § 11 BDSG der Auftraggeber stets verantwortliche Stelle bleibt. Kommt es also zu einer Datenpanne beim verarbeitenden Teil, so muss dennoch die verantwortliche Stelle die Meldepflicht gem. § 42a BDSG erfüllen. Dies ist insbesondere dann heikel, wenn die Auftragsdatenverarbeitung im Ausland stattfindet, in dem wiederum andere datenschutzrechtliche Meldepflichten bestehen, sodass die verantwortliche Stelle eventuell gar nicht schnell genug mitkriegt, dass eine Datenpanne vorliegt.


Rechtstipp aus dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Thomas Feil (Feil Rechtsanwaltsgesellschaft mbH)

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.