Distri-Award
– Jetzt zur Umfrage!

Suchen

Data Breach Notifications Die neuen Meldepflichten bei Datenschutzverstößen

| Autor / Redakteur: Sven Schlotzhauer / Heidemarie Schuster

Bis zum Inkrafttreten der neuen Datenschutz-Grundverordnung (DS-GVO) sind es noch knapp anderthalb Jahre. Doch während sich Großkonzerne bereits entsprechend aufgestellt haben, wird das Thema von KMU nur zögerlich oder gar nicht angegangen.

Firmen zum Thema

Mit Inkrafttreten der DS-GVO wird eine Meldepflicht gegenüber der Aufsichtsbehörde für jegliche Datenpannen eingeführt.
Mit Inkrafttreten der DS-GVO wird eine Meldepflicht gegenüber der Aufsichtsbehörde für jegliche Datenpannen eingeführt.
(Bild: © konradbak - Fotolia.com)

Meldepflichten sind naturgemäß unbeliebt, muss doch der Meldende fürchten, einen erheblichen Reputationsschaden zu erleiden und als unsorgfältig im Umgang mit Kundendaten dazustehen. Allerdings hat sich in den vergangenen Jahren gezeigt, dass selbst die renommiertesten Unternehmen vor derartigen Datenpannen nicht gefeit sind: Die Liste der Betroffenen umfasst so prominente Namen wie Sony, Comdirect, Telefónica, den HSV, Lufthansa oder LinkedIn. Schlagzeilen machte auch das Abhandenkommen der Kundendaten des Seitensprungportals „Ashley Madison“.

Meldepflichten: Eigentlich nichts Neues

Während im angloamerikanischen Raum das Instrument der Data Breach Notification schon länger bekannt ist, wurden derartige Pflichten für deutsche Unternehmen erst 2009 eingeführt. Der damals eingeführte § 42a BDSG regelt, dass eine Informationspflicht besteht, wenn bestimmte Arten personenbezogener Daten von einer Datenpanne betroffen sind, das heißt wenn sie einem Dritten unrechtmäßig zur Kenntnis gelangt sind. Die Arten personenbezogener Daten sind jedoch im Gesetz abschließend genannt. Hierzu gehören unter anderem Gesundheitsdaten, Daten, die einem Berufsgeheimnis unterliegen (Heilberufe, Rechtsanwälte etc.), Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen, Bankdaten sowie Bestands- und Nutzungsdaten im Bereich des Internet wie zum Beispiel Login-Daten und Passwörter. Es ist dabei unerheblich, ob die Kenntniserlangung des Dritten aktiv bewirkt wurde – beispielsweise durch fehlerhaftes Versenden von Daten – oder ob der für die Daten Verantwortliche Opfer eines Datendiebstahls oder eines Hacks geworden ist.

Das Gesetz besagt weiter, dass eine Meldepflicht nur dann besteht, wenn schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdige Interessen der Betroffenen drohen. Dieses Merkmal kann jedoch in der Praxis vernachlässigt werden, weil im Falle eines Verstoßes gegen die Meldepflicht ein Bußgeld von bis zu 300.000 Euro droht.

Das Gesetz regelt zugleich detailliert die Umsetzung der Meldepflicht, also wer zu informieren ist – die Betroffenen und die zuständige Datenschutzaufsichtsbehörde – und welche Informationen die betroffenen Personen konkret erhalten müssen. Dazu gehören insbesondere Empfehlungen an die Betroffenen, wie mögliche nachteilige Folgen abgemildert werden können. Die Meldung an die Behörde dagegen muss eine Schilderung der ergriffenen Gegenmaßnahmen erhalten. In bestimmten Fällen kann es sogar erforderlich sein, die Öffentlichkeit durch Anzeigen über die Datenpanne in bundesweit erscheinenden Tageszeitungen zu unterrichten.

In der Praxis führte insbesondere die Tatsache, dass nur das Abhandenkommen der oben definierten „Risikodaten“ gemeldet werden musste dazu, dass Unternehmen ihre Datenpannen relativ selten meldeten. Das Bayerische Landesamt für Datenschutzaufsicht sprach zuletzt von einer zweistelligen Anzahl von Meldungen pro Jahr.

Alter Wein in neuen Schläuchen?

Die ab Mai 2018 geltende DS-GVO wird hier wesentliche Änderungen mit sich bringen. So wird eine Meldepflicht gegenüber der Aufsichtsbehörde für jegliche Datenpannen eingeführt, es sei denn, dass diese – so der Gesetzeswortlaut – „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt. Allerdings: Welches Unternehmen wird sich hierauf berufen wollen, wenn der Rahmen des drohenden Bußgeldes nun nicht mehr bei 300.000 Euro, sondern bei bis zu zehn Millionen Euro (oder zwei Prozent des Umsatzes des Unternehmens!) liegt? Die Betroffenen dagegen sind nur noch zu informieren, wenn ein „hohes“ Risiko für deren Rechte besteht.

Nicht informiert werden muss, wenn die abhandengekommenen Daten verschlüsselt waren oder Maßnahmen zur Schadensbegrenzung ergriffen wurden, die das vorher bestehende Risiko beseitigt haben. Was dies allerdings konkret bedeuten soll, wissen nach eigenem Bekunden auch die die Aufsichtsbehörden nicht.

Die Meldung ist zukünftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde einzureichen; eine Verlängerung der Frist ist nur in begründeten Fällen möglich. Der Umfang der Meldung ist durchaus vergleichbar mit der derzeitigen Gesetzeslage. Das Bayerische Landesamt für Datenschutzaufsicht hat kürzlich ein Onlineangebot für Unternehmen gestartet, welches eine schnellere Meldung von Datenpannen ermöglichen soll.

Ausblick

Die eigentlich relativ klare Regelung des § 42a BDSG ist durch eine praktisch grenzenlose Meldepflicht ersetzt worden. Die Aufsichtsbehörden werden sich nach der Verlautbarung des Bayerischen Landesamtes für Datenschutzaufsicht zur Auslegung der völlig unbestimmten Rechtsbegriffe abstimmen und den Unternehmen Entscheidungshilfen an die Hand geben. Im Zweifel sollte auf die im Gesetz eigentlich vorgesehene Prüfung der Fragen, ob die Datenpanne voraussichtlich nicht zu einem Risiko für den Betroffenen führt oder ein hohes Risiko für die Rechte des Betroffenen besteht, verzichtet werden; in diesem Fall sind Aufsichtsbehörde und die Betroffenen zu informieren. Dies gebietet schon der massive Bußgeldrahmen von bis zu 10.000.000 Euro beziehungsweise zwei Prozent des Umsatzes des Unternehmens.

Über den Autor

Sven Schlotzhauer, Fachanwalt für IT-Recht und Partner bei Büsing Müffelmann & Theye
Sven Schlotzhauer, Fachanwalt für IT-Recht und Partner bei Büsing Müffelmann & Theye
(Bild: © Kubinska & Hofmann)

Sven Schlotzhauer ist Fachanwalt für IT-Recht und Partner der überörtlichen Sozietät BMT Büsing Müffelmann & Theye (http://www.bmt.eu) in München. Er ist auf Fragen des IT-Rechts, des E-Commerce und des Datenschutzrechts spezialisiert.

(ID:44357313)