Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Schwerwiegende Beeinträchtigungen gemäß § 42a BDSG

Nicht alle Datenpannen müssen gemeldet werden. Auf die Art der drohenden Beeinträchtigung kommt es an.

In den meisten Unternehmen ist bekannt, dass bestimmte Datenpannen den Aufsichtsbehörden gemeldet und den Betroffenen bekannt gegeben werden müssen. Auch die dafür notwendigen Prozesse  sind häufig definiert. Dennoch herrscht häufig Unsicherheit, wann genau aktiv zu informieren ist.

Informationspflicht nur bei bestimmten Daten

Vorab: Die Informationspflichten aus § 42a greifen nur, wenn

  • besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG,
  • personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
  • personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder einen entsprechenden Verdacht beziehen, oder
  • personenbezogene Daten zu Bank- oder Kreditkartenkonten

betroffen sind.

Über Datenpannen zu anderen personenbezogenen Daten braucht nicht aktiv informiert zu werden. Allerdings muss eine solche Datenpanne bei Anfragen nach § 34 BDSG ungefragt mit beauskunftet werden.

Schwerwiegende Beeinträchtigungen müssen drohen

Zurück zum eigentlichen Thema: Die Unsicherheit, ob nach einer Datenpanne informiert werden muss, liegt in der Regel an der sehr schwammigen Formulierung des BDSG. Laut § 42a BDSG wird die Meldepflicht nämlich nur dann ausgelöst, wenn „schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen“ drohen.

Interessant ist hierbei die Wahl des Begriffs „drohen“. Demnach muss eine Gefahr für die Beeinträchtigungen bestehen, die aber noch abwendbar sein muss. Die Aufsichtsbehörden sehen die Meldepflicht darüber hinaus auch als gegeben, wenn die Beeinträchtigung bereits eingetreten ist. Dieses wird verständlicher Weise derart verargumentiert, dass es natürlich nicht sein darf, dass über bereits eingetretene Beeinträchtigungen „der Mantel des Schweigens“ gelegt wird. Ob eine Gefahr droht, wird von den Behörden so definiert, dass der Eintritt eines Schadens wahrscheinlicher ist als das Ausbleiben. Hier gilt es also im Fall von Datenpannen die entsprechenden Abwägungen vorzunehmen.

Schutzgüter

Des Weiteren sind die Schutzgüter und die Folgen der Datenpanne für den Betroffenen zu ermitteln und zu klassifizieren. Das bedrohte Schutzgut des Betroffenen lässt sich mit aufsteigender Priorität von Gefahren für das Vermögen, über die Persönlichkeitsrechte bis zur körperlichen Integrität klassifizieren. Je höher das bedrohte Schutzgut, desto eher wird die Meldepflicht ausgelöst.

Folgenabschätzung

Ähnlich ist es mit der Folgenabschätzung. Hierbei  ist zwischen niedrigen, mittleren und hohen Folgen für den Betroffenen zu unterscheiden.

Anhand dieser Klassifizierungen kann die Entscheidung über das Bestehen einer Meldepflicht getroffen werden. Besteht beispielsweise „noch nicht einmal“ Gefahr für das Vermögen des Betroffenen (als niedrigstes Schutzgut) und sind zudem die Folgen (Höhe des entstehenden Schadens) gering, dann wird vermutlich keine Meldepflicht ausgelöst. Bestehen hingegen Gefahren für die körperliche Unversehrtheit (vermutlich unabhängig vom Ausmaß), dann wird eine Meldung nach § 42a nicht zu vermeiden sein. In Fällen, die zwischen diesen beiden Extrembeispielen liegen gilt es, abzuwägen.

So wird eine Gefahr für das Vermögen in erheblichem Ausmaß, z. B. bei Diebstahl von Kreditkartendaten ebenfalls zu einer Meldepflicht führen.

Wer muss wann informiert werden?

Zu informieren sind immer sowohl die Aufsichtsbehörden als auch die Betroffenen. Die Aufsichtsbehörden sind unverzüglich zu informieren, die Betroffenen unverzüglich dann, wenn angemessene Maßnahmen zur Sicherung der Daten worden sind und eine eventuelle Strafverfolgung nicht gefährdet wird. Die Information der Betroffenen kann also durchaus solange verzögert werden, bis eine Sicherheitslücke soweit geschlossen ist, dass ihr Bekanntwerden nicht zu weiteren Schäden führt. Auch kann es notwendig sein, sich vor der Bekanntgabe mit den Ermittlungsbehörden abzustimmen.

Melden macht frei…

Eine kleine Kuriosität am Rande: Gem. § 42a Satz 6 darf „eine Benachrichtigung, die der Benachrichtigungspflichtige erteilt hat, [..] in einem Strafverfahren oder einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen ihn [..] nur mit Zustimmung des Benachrichtigungspflichtigen verwendet werden“. Das heißt im Klartext: Wenn die Aufsichtsbehörde informiert wurde, können weder Bußgeld noch Strafen aufgrund der Bestimmungen des BDSG folgen, es sei denn man stimmt zu. Dennoch scheuen viele Unternehmen aufgrund des möglichen Imageschadens eine solche Information und versuchen, das ganze möglichst zu verschweigen. Wer dabei erwischt wird, dem drohen übrigens die „üblichen“ Bußgelder oder Strafen gem. §§43 und 44 BDSG – und dann erst recht schlechte Presse.

Gerne unterstütze ich Sie bei der Implementierung von Prozessen zur Umsetzung der Informationspflicht in Ihrem Unternehmen.