Fragen zur Vorgehensweise bei Datenpannen

(Quelle: LfDI Berlin, Merkblatt Datenpannen)

Wer ist zur Mitteilung verpflichtet?
  • Nach § 42a Satz 1 BDSG sind nichtöffentliche Stellen (§ 2 Absatz 4 BDSG) sowie
  • öffentlich-rechtliche Wettbewerbsunternehmen verpflichtet.

Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht Aufgaben der öffentlichen Verwaltung oder hoheitliche Aufgaben wahrnehmen, oder Vereinigungen von öffentlichen Stellen des Bundes oder der Länder sind. § 42a Satz 1 BDSG verweist auf § 27 Absatz 1 Satz 1 Nr. 2 BDSG, so dass auch öffentliche Stellen des Bundes, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, § 42a BDSG beachten müssen.

Öffentliche Stellen des Landes, die als Wettbewerbsunternehmen tätig sind, werden nur erfasst, wenn das entsprechende Landesdatenschutzgesetz auf § 42a BDSG verweist. Da alle Landesdatenschutzgesetze auf das BDSG bzw. auf einzelne Vorschriften des BDSG (inklusive § 42a BDSG) verweisen, gilt § 42a BDSG ausnahmslos für die öffentlichen Stellen der Länder, die als Wettbewerbsunternehmen tätig sind. Für sonstige öffentliche Stellen des Bundes und der Länder ist § 42a BDSG nicht anwendbar. Anderes gilt für die dem § 42a BDSG entsprechenden Informationspflichten in § 109a Telekommunikationsgesetz (TKG) 3 und § 15a Telemediengesetz (TMG) 4 . Dort wird keine Unterscheidung zwischen öffentlichen und nichtöffentlichen Stellen getroffen. Diese Vorschriften sind gleichermaßen auf alle Datenverarbeiter anwendbar.

Ist der Auftragsdatenverarbeiter zur Mitteilung verpflichtet?

Der Auftragsdatenverarbeiter nach § 11 BDSG ist selbst nicht Adressat des § 42a BDSG. Gem. § 11 Absatz 4 BDSG gelten für den Auftragnehmer nur bestimmte Vorschriften des BDSG. § 42a BDSG wird in § 11 Absatz 4 BDSG nicht erwähnt und zählt daher nicht zu den für den Auftragnehmer anwendbaren Vorschriften. Für einen Verlust von Daten, die beim Auftragnehmer im Auftrag gespeichert waren, ist der Auftraggeber verantwortlich. Dieser muss die Aufsichtsbehörde und die Betroffenen benachrichtigen. Kommt es hier zu Verzögerungen, z.B. weil der Auftragnehmer den Auftraggeber zu spät von dem Datenverlust in Kenntnis setzt, geht dies zu Lasten des Auftraggebers.

Der Auftraggeber muss daher dafür Sorge tragen, dass der Auftragnehmer zur unverzüglichen Meldung gegenüber dem Auftraggeber verpflichtet ist, sollten Daten beim Auftragnehmer abhandenkommen. Dies erreicht er durch eine klare vertragliche Verpflichtung im Auftragsdatenverarbeitungsvertrag (§ 11 Absatz 2 Nr. 8 BDSG ) und eine Kontrolle des Meldeprozesses. 

Welche Datenarten sind betroffen?

Erfährt die verantwortliche Stelle z.B. durch das eigene Sicherheitsmanagement, durch Hinweise von Strafverfolgungsbehörden, durch den betrieblichen Datenschutzbeauftragten, durch die Aufsichtsbehörde oder aus anderen Quellen davon, dass Daten abhandengekommen sind, muss sie feststellen, welche Datenarten betroffen sind. Eine Pflicht zur Information kommt nach § 42a Satz 1 BDSG nur dann in Betracht, wenn die Daten zu einer der folgenden Kategorien gehören:

  • besondere Arten personenbezogener Daten (§ 3 Absatz 9 BDSG , dazu a.),
  • personenbezogene Daten, die einem Berufsgeheimnis unterliegen (dazu b.),
  • personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen (dazu c.), oder
  • personenbezogene Daten zu Bank- oder Kreditkartenkonten (dazu d.).

Die Daten müssen bei der verantwortlichen Stelle gespeichert sein, d.h. wenn die Daten beim Betroffenen selbst abhandenkommen (z.B. PIN und TAN-Nummer beim Onlinebanking), ist § 42a BDSG nicht einschlägig. Dagegen kann § 42a BDSG in Betracht kommen, wenn Daten unbefugt aus einem IT-System abgerufen werden, indem Passwörter, Zugangscodes, Skriptinformationen etc. verwendet werden, die der Angreifer sich beim Betroffenen oder auf anderem Wege (z.B. über Social Engineering) beschafft hat.

a. Besondere Arten personenbezogener Daten

Bei den besonderen Arten personenbezogener Daten handelt es sich um Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Besonders relevant wird die Informationspflicht nach § 42a BDSG im Bereich der Verarbeitung von medizinischen Daten (durch Ärzte, Krankenhäuser, Versicherungen etc.). Auch die Tatsache, dass sich jemand in Behandlung befindet, stellt eine Angabe über die Gesundheit dar, so dass auch Kontaktdaten von Patienten unter § 42a Satz 1 Nr. 1 BDSG fallen können. Besondere Arten personenbezogener Daten können auch betroffen sein, wenn Personalaktendaten abhandenkommen. So zählen Krankschreibungen oder die Anzahl von Krankheitstagen, die sich ggf. aus einer Personalakte ergeben, zu den Daten über die Gesundheit. Darüber hinaus kann sich in den Lohnsteuerunterlagen ein Hinweis auf die Religionszugehörigkeit finden.

b. Berufsgeheimnis

Ein Berufsgeheimnis ist eine rechtliche Verpflichtung zur Verschwiegenheit. Es macht bestimmte Berufsinhaber z.B. aufgrund eines besonderen Vertrauensverhältnisses zu Geheimnisträgern. Der Berufsgeheimnisträger darf die ihm anvertrauten Informationen im Regelfall nur offenbaren, wenn der Betroffene zugestimmt hat. Soweit es sich bei dem Inhalt solcher Geheimnisse um personenbezogene Daten handelt und diese unbefugt Dritten zur Kenntnis gelangen, kommt § 42a BDSG in Betracht. Berufsgruppen, deren Angehörige einem Berufsgeheimnis unterliegen, sind in § 203 Strafgesetzbuch (StGB) aufgezählt. Zu diesen gehören z.B. Anwälte, Notare und Ärzte. Das Datengeheimnis nach § 5 BDSG zählt nicht zu den Berufsgeheimnissen, wohl aber Verschwiegenheitspflichten des Steuerberaters und Wirtschaftsprüfers. Angehörige eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung sind ebenfalls Berufsgeheimnisträger. Die Tatsache, dass ein Lebensversicherungsvertrag besteht, stellt z.B. ein personenbezogenes Datum dar, das vom Berufsgeheimnis dieser Personen erfasst wird. Wenn Kundenkontaktdaten abhandenkommen, aus denen sich die Vertragsbeziehung zu einem Lebensversicherer ergibt, kann § 42a Satz 1 Nr. 2 BDSG einschlägig sein. Das Personalaktengeheimnis verpflichtet grundsätzlich nur öffentlich-rechtliche Arbeitgeber, so dass dieses im Zusammenhang mit § 42a BDSG nur für die öffentlich-rechtlichen Wettbewerbsunternehmen relevant werden könnte. Allerdings beinhalten Personalaktendaten häufig auch Daten, die anderen Datenkategorien des § 42a Satz 1 BDSG zugeordnet werden können. Eine Informationspflicht käme dann trotzdem in Betracht. Daten, die dem Sozialgeheimnis (§ 35 Sozialgesetzbuch (SGB) I, § 67 SGB X) unterliegen, werden von Sozialleistungsträgern verarbeitet. Für diese gilt eine spezielle Informationspflicht, die in § 83a SGB X geregelt ist und sich auf besondere Arten personenbezogener Daten (§ 67 Abs. 12 SGB X) bezieht. 

c. Informationen zu strafbaren Handlungen oder Ordnungswidrigkeiten

Zu den personenbezogenen Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen, zählen sämtliche Informationen, die mit Straf- oder Ordnungswidrigkeitstatbeständen in einem Zusammenhang stehen, mindestens aber Informationen zu laufenden oder abgeschlossenen Verfahren. Außerdem kommt § 42a Satz 1 Nr. 3 BDSG in Betracht, wenn personenbezogene Daten abhandenkommen, die sich auf den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen. Nach § 32 Abs. 1 Satz 2 BDSG ist der Arbeitgeber unter bestimmten Voraussetzungen berechtigt, personenbezogene Daten des Beschäftigten zur Aufdeckung von Straftaten zu erheben, zu verarbeiten oder zu nutzen. Bei Abhandenkommen dieser Daten könnte eine Informationspflicht nach § 42a BDSG ausgelöst werden. Informationen zu Ordnungswidrigkeiten können z.B. beim Betrieb eines Fuhrparks im Unternehmen eingehen. Dies ist der Fall, wenn Mitarbeiter mit Dienstwagen Verkehrsordnungswidrigkeiten begehen und die Polizei sich per Anhörungsschreiben an den Halter, d.h. den Arbeitgeber, wendet. Wenn diese Informationen unbefugt an Dritte gelangen, kommt § 42a Satz 1 Nr. 3 BDSG in Betracht.

d. Personenbezogene Daten zu Bank- und Kreditkartenkonten

Personenbezogene Daten zu Bank- und Kreditkartenkonten sind sämtliche Informationen, die mit solchen Konten im Zusammenhang stehen. Auch die Tatsache, dass eine Kontobeziehung besteht, gehört dazu. Kreditkarten- und Kontonummern mit oder ohne Namen des Kreditkarten- und Bankkontoinhabers sind ebenfalls personenbezogene Daten zu Bankoder Kreditkartenkonten. Jegliche Transaktionsdaten sind ebenso wie Prägespurdaten, ausgefüllte Überweisungsvordrucke, Kreditkartenbelege, Kontoauszüge von § 42a Satz 1 Nr. 4 BDSG erfasst. Soweit aus Bankunterlagen, -mitteilungen bzw. -daten ein Bezug zu einem Bank- oder Kreditkartenkonto hervorgeht, ist § 42a Satz 1 Nr. 4 BDSG einschlägig. 

In welchen Fällen ist von einer unrechtmäßigen Kenntniserlangung auszugehen?

Die Pflicht zur Mitteilung setzt nach § 42a Satz 1 BDSG weiterhin voraus, dass die Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Unrechtmäßig ist die Übermittlung oder sonstige Kenntniserlangung dann, wenn sie ohne Rechtsgrund erfolgt. Dies ist der Fall, wenn die Betroffenen nicht zugestimmt haben und die Offenbarung weder durch Gesetz noch sonstige Rechtsvorschrift erlaubt ist.

Auf ein etwaiges Verschulden beim Datenverlust, auf eine selbst initiierte Weitergabe oder auf eine sonstige Mitwirkung der datenverarbeitenden Stelle kommt es insgesamt nicht an. Eine Informationspflicht kann z. B. auch dann in Betracht kommen, wenn die datenverarbeitende Stelle eine bewusste Datenübermittlung vorgenommen hat, die unzulässig war. Für die Frage, ob § 42a BDSG anwendbar ist, spielt es keine Rolle, ob eine Übermittlung vorliegt oder die Daten „in sonstiger Weise Dritten“ zur Kenntnis gelangt sind. Wie der Begriff „auf sonstige Weise“ zum Ausdruck bringt, soll die Übermittlung einen Spezialfall darstellen.

Die Kenntniserlangung durch einen Dritten muss nicht positiv festgestellt werden. Es ist ausreichend, wenn es entweder offensichtlich ist, dass Dritte Kenntnis erlangt haben, oder wenn anhand von tatsächlichen Anhaltspunkten mit einer gewissen Wahrscheinlichkeit davon ausgegangen werden kann. Es liegt letztlich in der Verantwortung der Daten verarbeitenden Stelle, über die Frage der Benachrichtigung zu entscheiden. Es kann Fälle geben, in denen es auf einzelne Stunden ankommt, innerhalb welcher Betroffene durch die Benachrichtigung in die Lage versetzt werden, Abwehrmaßnahmen zu ergreifen. Wenn in solchen Fällen von einer Benachrichtigung mangels Gewissheit über die Kenntniserlangung abgesehen wird, kann dies nicht nur zu datenschutzrechtlichen Konsequenzen führen, sondern auch in Schadensersatzfällen die Frage der Mitschuld aufwerfen.

Eine Übermittlung bzw. unrechtmäßige Kenntniserlangung ist in Fällen von nicht gerechtfertigter Sammeladressierung gegeben bzw. wenn Daten an einen falschen Adressaten übermittelt werden. Ebenso sind Veröffentlichungen im Internet erfasst, z.B. in Fällen, in denen Informationen aufgrund eines technischen Fehlers durch Suchmaschinen indexiert oder auf andere Weise für Dritte zugänglich werden. Eine Informationspflicht kommt auch in Fällen des Datenverlusts in Betracht, wenn Laptops oder andere Datenträger an Orten verlorengehen, wo sie Dritten zugänglich sind und die Daten nicht verschlüsselt sind. Gleiches gilt, wenn Daten gestohlen oder illegal aus ITSystemen abgerufen werden. Auch in diesem Zusammenhang ist von einer Kenntniserlangung immer dann auszugehen, wenn die Daten, z.B. die Festplatte eines gestohlenen Laptops, nicht verschlüsselt waren.

Eine Festplattenverschlüsselung eines Notebooks bietet allerdings nur dann ausreichende Sicherheit, wenn es zum Zeitpunkt des Verlusts ausgeschaltet ist, das Passwort eine ausreichende Länge aufweist und nicht (so) notiert wird, dass es einem potenziellen Angreifer in die Hände gelangen kann. Eine Zugangssperre, etwa in Form des Windows-Login, reicht nicht aus. Diese kann technisch leicht umgangen werden.

Auch Mitarbeiter können „Dritte“ im Sinne des § 42a Satz 1 BDSG sein. Wenn Mitarbeiter etwa Daten unbefugt an private eigene E-Mail-Adressen versenden oder auf externen Medien speichern und diese mitnehmen, kann § 42a BDSG den Arbeitgeber zur Mitteilung verpflichten. Darüber hinaus kann § 42a BDSG einschlägig sein, wenn Mitarbeiter Daten unbefugt aus automatisierten Abrufverfahren abfragen (z.B. unzulässige Bonitätsabfrage des Mitarbeiters eines Kreditinstituts im automatisierten Abrufverfahren). In solchen Fällen erhält der Mitarbeiter die Daten nicht im Rahmen seiner arbeitsvertraglich festgelegten Befugnisse, sondern als Privatperson. Damit ist er nicht mehr Teil der Organisation, sondern steht au- ßerhalb der verantwortlichen Stelle und wird mithin zum „Dritten“ (§ 3 Abs. 8 Satz 2 BDSG). Die Daten, die er mitgenommen bzw. abgerufen hat, sind damit einem Dritten unrechtmäßig zur Kenntnis gelangt. Ob das Handeln des Mitarbeiters dem Arbeitgeber zuzurechnen ist oder nicht, spielt für die Informationspflicht des Arbeitgebers keine Rolle. Diese wird allein dadurch ausgelöst, dass die Daten, die beim Arbeitgeber gespeichert waren, nunmehr einer als „Dritter“ anzusehenden Person zur Kenntnis gelangt sind. 

In welchen Fällen drohen schwerwiegende Beeinträchtigungen?

Eine Informationspflicht besteht nur dann, wenn die vorgenannten Voraussetzungen erfüllt sind und nach § 42a Satz 1 BDSG zusätzlich schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Dabei kommt es darauf an, welche Auswirkungen die unrechtmäßige Kenntniserlangung durch Dritte für die Betroffenen haben kann.

Die verantwortliche Stelle muss eine Prognoseentscheidung treffen, d.h. sie muss mögliche Folgen nach Lage der Dinge identifizieren und diese anhand der Belastung für die Betroffenen und der Wahrscheinlichkeit, dass die Belastung eintritt, bewerten. Dabei wird es in vielen Fällen hilfreich sein, mögliche Verwendungsszenarien zu entwerfen und diese „durchzuspielen“. Relevant ist dabei nicht nur, was Dritte aufgrund der Beschaffenheit der Daten mit diesen anfangen können, sondern auch, welche Arten der Verwendung (z.B. Identitätsbetrug, Verbreitung) in Betracht kommen. Unter Umständen spielt es auch eine Rolle, wer die Daten – soweit bekannt – in die Hände bekommen hat und über welches Zusatzwissen / welche Fähigkeiten diese Personen verfügen bzw. welche Ziele verfolgt werden.

Die Szenarien sind daraufhin zu analysieren, welche potentiellen Beeinträchtigungen, materieller wie immaterieller Art (z.B. Vermögensschäden, soziale Nachteile), entstehen können. Je größer die mögliche Beeinträchtigung der Rechte oder Interessen der Betroffenen ist, desto geringere Anforderungen sind an die Eintrittswahrscheinlichkeit zu stellen. Außer Acht zu lassen ist, ob den Betroffenen Ausgleichs-, Widerrufs-, Rückbuchungsansprüche oder sonstige Möglichkeiten zustehen, etwaige Schäden auszugleichen. Auf zivilrechtliche Haftungsfragen oder Fragen der Mitschuld kommt es nicht an.

Die Informationspflicht des § 42a BDSG soll die Betroffenen in die Lage versetzen, erhöhte Missbrauchsgefahren zu erkennen und ggf. weitere Vorsorgemaßnahmen zu treffen. Dabei spielt es keine Rolle, ob die Betroffenen z.B. vertraglich verpflichtet sind, Unregelmäßigkeiten umgehend anzuzeigen (Bsp.: Pflicht zur Prüfung der Kreditkartenabrechnung). Wenn Kreditkartendaten beim Kartenemittenten abhandenkommen, erhöht sich die Gefahr der missbräuchlichen Nutzung stark. Die Betroffenen müssen in die Lage versetzt werden, die Überprüfungen ihrer Abrechnungen in Umfang und Intensität der neuen Gefährdungslage anzupassen.

Der Maßstab dafür, wie stark die Betroffenen belastet sein „müssen“, damit eine Informationspflicht ausgelöst wird, ist daher nicht zu hoch anzulegen. Die verantwortliche Stelle sollte stets berücksichtigen, dass sie das volle Risiko trägt, dass sie sich irrt. Es ist also eher umgekehrt zu fragen, welche Konstellationen denkbar sind, in denen die bezeichneten Arten von Daten, bei denen es sich in der Regel ohnehin um sehr sensible Daten handelt, Dritten zur Kenntnis gelangen, ohne dass hieraus schwerwiegende Beeinträchtigungen entstehen. Letzteres kann z.B. der Fall sein, wenn die Daten stark verschlüsselt sind.

Für den Fall, dass die verantwortliche Stelle zu dem Ergebnis kommt, dass keine schwerwiegenden Beeinträchtigungen drohen und sie die Benachrichtigung der Betroffenen folglich unterlässt, muss sie gegenüber der Aufsichtsbehörde nachweisen können, warum sie zu diesem Ergebnis gekommen ist. Dazu ist zu empfehlen, dass die verantwortliche Stelle den Entscheidungsprozess dokumentiert und das prognostizierte Ergebnis nachvollziehbar begründen kann. 

Es empfiehlt sich, den betrieblichen Datenschutzbeauftragten im Rahmen der Prognoseentscheidung, aber auch bei der gesamten Prüfung der Voraussetzungen des § 42a BDSG frühzeitig einzubinden. 

Wann müssen Aufsichtsbehörde und Betroffene benachrichtigt werden?

Die Betroffenen und die zuständige Aufsichtsbehörde sind nach § 42a Satz 1 BDSG grundsätzlich unverzüglich, d.h. ohne schuldhaftes Zögern, zu benachrichtigen. Für die Benachrichtigung der Aufsichtsbehörde steht der verantwortlichen Stelle eine zur Ermittlung des Sachverhalts und Prüfung der Voraussetzungen des § 42a BDSG angemessene Frist zu, die sich an den Umständen des Einzelfalles bemisst. Dabei kommt es auf die Komplexität des Vorfalles an. Die Frist beginnt mit der Kenntnis der verantwortlichen Stelle, dass Daten übermittelt oder unrechtmäßig zur Kenntnis gelangt sind.

Für die Benachrichtigung der Aufsichtsbehörde ist es unerheblich, ob alle Sicherheitslücken bereits geschlossen sind oder ob ein Ermittlungsverfahren der Strafverfolgungsbehörden noch läuft. Maßgeblich ist allein die Frage, ob ein Fall des § 42a BDSG vorliegt.

Die Benachrichtigung der Betroffenen muss unverzüglich erfolgen, sobald

  • angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind (dazu a.) und
  • die Strafverfolgung nicht mehr gefährdet wird (dazu b.). Die verantwortliche Stelle muss gegenüber der Aufsichtsbehörde im Zweifel nachweisen können, warum die Zurückstellung der Benachrichtigung der Betroffenen gerechtfertigt war. Die Gründe, das Vorgehen (z.B. die Kontaktaufnahme zum Hersteller von Software21) und ggf. die Kommunikation mit der Staatsanwaltschaft sollten dokumentiert werden.

a. Angemessene Maßnahmen zur Sicherung der Daten

Wenn es möglich ist, angemessene Maßnahmen zur Sicherung der Daten zu ergreifen, haben diese Vorrang, soweit die Benachrichtigung der Betroffenen den Erfolg der Maßnahmen gefährden würde. Die Betroffenen sind dann unverzüglich zu benachrichtigen, sobald die Maßnahmen ergriffen wurden.

Welche Datensicherungsmaßnahmen dabei in Betracht kommen, hängt vom Einzelfall ab. Etwaige technische Sicherheitslücken, die zur Ursache für den Datenverlust geworden sind, müssen analysiert und wenn möglich behoben werden. Für den Fall, dass eine Sicherheitslücke in der eingesetzten Software festgestellt wird, sollte zunächst der Hersteller der Software hierüber unterrichtet werden. Dieser sollte unter Fristsetzung aufgefordert werden, die Sicherheitslücke zu schließen. Auf diesem Weg der sog. „Responsible Disclosure“ („verantwortungsvolle Offenlegung“) wird dem Hersteller die Gelegenheit gegeben, die Schwachstellen zu beseitigen, bevor die Sicherheitslücke öffentlich wird. Allerdings ist die Benachrichtigung der Betroffenen nicht weiter zurückzuhalten, wenn der Hersteller auf die Forderungen der verantwortlichen Stelle nicht reagiert bzw. eine Schließung der Sicherheitslücke ohne vernünftigen Grund unterlässt oder verzögert.

b. Gefährdung der Strafverfolgung

Wenn Ermittlungen der Strafverfolgungsbehörden gefährdet werden könnten, hat die Benachrichtigung der Betroffenen zunächst zu unterbleiben. Diese Möglichkeit, die Benachrichtigung nach § 42a BDSG aus Strafverfolgungsgründen aufzuschieben, betrifft natürlich nur solche Strafverfolgungen, die infolge des Vorfalls der unrechtmäßigen Kenntniserlangung angestoßen bzw. durchgeführt werden. Sobald die Strafverfolgung nicht mehr gefährdet ist, muss unverzüglich benachrichtigt werden.

Zumeist wird die verantwortliche Stelle nicht selbst ermessen können, ob die Ermittlungen durch die Offenlegung beeinträchtigt sind. Es empfiehlt sich daher, die Einschätzung der Strafverfolgungsbehörden, insbesondere den Rat des leitenden Staatsanwaltes, einzuholen.

Worüber ist die Aufsichtsbehörde zu unterrichten?

Die Benachrichtigung der Aufsichtsbehörde sollte schon aus Nachweisgründen schriftlich erfolgen oder zumindest schriftlich nachgereicht werden. Mit der Benachrichtigung müssen die folgenden Fragen beantwortet werden:

  • Wann sind die Daten abhandengekommen bzw. wann wurde dies von der verantwortlichen Stelle festgestellt?
  • Welche Daten sind betroffen und wie wurden diese unrechtmäßig übermittelt bzw. wie sind diese Daten unrechtmäßig zur Kenntnis gelangt? Der Vorfall sollte detailliert beschrieben werden, d.h. sämtliche zur Verfügung stehenden, relevanten Informationen müssen der Aufsichtsbehörde mitgeteilt werden. Für den Fall, dass die verantwortliche Stelle aufgrund tatsächlicher Anhaltspunkte mit einer gewissen Wahrscheinlichkeit von einer Kenntniserlangung ausgeht, sind Anhaltspunkte und Schlussfolgerungen konkret darzulegen.
  • Welche nachteiligen Folgen der unrechtmäßigen Kenntniserlangung sind möglich? In diesem Zusammenhang sind die von der verantwortlichen Stelle zusammengestellten Verwendungsszenarien, deren Eintrittswahrscheinlichkeit und deren Folgen darzustellen. Bei den möglichen nachteiligen Folgen geht es nicht nur um die unmittelbaren Belastungen für die Rechte und schutzwürdigen Interessen der (schon) Betroffenen, sondern auch um etwaige nachteilige Folgen für die IT-Sicherheit der verantwortlichen Stelle, soweit dies datenschutzrechtlich relevant ist.
  • Welche Maßnahmen wurden von der verantwortlichen Stelle ergriffen? Die Maßnahmen sind so detailliert zu beschreiben, dass die Aufsichtsbehörde feststellen kann, ob die Sicherheitslücke geschlossen wurde bzw. wie die festgestellte unrechtmäßige Kenntnisnahme für die Zukunft ausgeschlossen ist. Es ist z.B. darzulegen, ob Server, zu denen sich Dritte unbefugt Zugriff verschafft haben, vom Netz genommen wurden bzw. ob Karten, Passwörter, Zugangscodes ausgetauscht wurden und ggf. VPN-Zugänge, die über gestohlene Laptops aktiviert werden könnten, geschlossen wurden.
  • Sind die Betroffenen bereits benachrichtigt worden und was wurde diesen empfohlen? Wenn die Betroffenen noch nicht informiert wurden, ist darzulegen, aus welchen Gründen die Benachrichtigung zurückgehalten wurde. Außerdem ist zu beschreiben, wie die Betroffenen informiert werden sowie welche Maßnahmen ihnen zur Minderung möglicher nachteiliger Folgen empfohlen werden sollen. 

 

 

In welcher Form sind die Betroffenen zu benachrichtigen?

Die Betroffenen sind grundsätzlich einzeln zu benachrichtigen. Für die Einzelbenachrichtigung schreibt das Gesetz keine besondere Form vor. Da die verantwortliche Stelle im Zweifel nachweisen können muss, dass sie die Betroffenen benachrichtigt hat, ist eine Benachrichtigung per (verschlüsselter) E-Mail oder per Post (soweit Adressen vorhanden sind) dringend geboten. Ob ein einfacher Brief letztlich ausreicht oder ein Einschreiben anzuraten ist, richtet sich nach den Umständen des Einzelfalls. In etwaigen Schadensersatzverfahren könnte es darauf ankommen, den Zugang der Schreiben beweisen zu können.

Für den Fall, dass die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, ersetzt die Information der Öffentlichkeit die Individualbenachrichtigung. Ein unverhältnismäßiger Aufwand an Zeit und Kosten kann z.B. bei einer Vielzahl von Fällen entstehen. Darüber hinaus könnte eine Individualbenachrichtigung dann unverhältnismäßig sein, wenn die verantwortliche Stelle zunächst die Adressen der Betroffenen ermitteln muss, weil diese ihr vorher nicht bekannt waren.

Die Information der Öffentlichkeit kann durch Anzeigen, die mindestens eine halbe Zeitungsseite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen sichergestellt werden. Es kommen auch andere Formen der Veröffentlichung in Betracht. Voraussetzung ist allerdings, dass diese im Hinblick auf die Information der Betroffenen den gleichen Wirkungsgrad haben. Wenn die Gruppe der Betroffenen aufgrund einer bestimmten Mitgliedschaft oder aufgrund ihres Wohnortes regional eingrenzbar ist, kann die Veröffentlichung sich auf diesen Bereich (z.B. Mitgliederzeitschrift, regionale Tageszeitung) beschränken. Dabei muss das Mittel der Veröffentlichung aber eine gleich geeignete Erreichbarkeit der Betroffenen gewährleisten. 

Welche Konsequenzen kann es haben, wenn die Benachrichtigung unterbleibt?

Erfolgt die Mitteilung gegenüber der Aufsichtsbehörde oder den Betroffenen aufgrund von Fahrlässigkeit oder mit Vorsatz nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig, so kann die Aufsichtsbehörde ein Bußgeldverfahren einleiten und ein Bußgeld in Höhe von bis zu 300.000 Euro erlassen (§ 43 Abs. 2 Nr. 7, Abs. 3 BDSG). 

Welche Konsequenzen ergeben sich für die interne Organisation?

Innerhalb der verantwortlichen Stellen muss sichergestellt werden, dass Sachverhalte, die eine Informationspflicht nach § 42a BDSG auslösen könnten, der Unternehmens- /Betriebsleitung bzw. dem Vorstand unverzüglich zur Kenntnis gelangen. Die Mitarbeiter sollten über die Informationspflicht informiert und dazu geschult werden. Es empfiehlt sich, im Rahmen einer Dienstanweisung einen internen Meldeweg bzw. Alarmketten festzulegen und insbesondere zu bestimmen, wer im Falle eines möglichen § 42a-Vorfalles zu benachrichtigen ist sowie wer für welche Aufgaben bei der Analyse bzw. Prüfung der Meldepflicht verantwortlich sein soll.

Für technische Sicherheitsvorfälle sollte im ITSicherheitskonzept ein solches Verfahren bereits beschrieben sein. Es empfiehlt sich, eine zentrale Kontaktstelle für Meldungen von möglichen § 42a-Vorfällen zu bestimmen, da es für viele Mitarbeiter schwierig sein wird festzustellen, ob tatsächlich ein meldepflichtiger Tatbestand vorliegt.

Der betriebliche Datenschutzbeauftragte bietet sich als Ansprechperson an, ist aber nicht die zwingende Wahl. Allerdings ist es dringend geboten, diesen bei der Analyse des Vorfalles und der Prüfung der Informationspflicht einzubinden.

Analyse und Überprüfungen sollten immer dokumentiert werden. Dies gilt nicht nur für den Fall, dass die verantwortliche Stelle zu dem Ergebnis kommt, dass keine schwerwiegenden Beeinträchtigungen drohen. Vielmehr muss die verantwortliche Stelle in der Lage sein, die Aufsichtsbehörde vollständig zu benachrichtigen und auch eine mögliche Zurückstellung der Benachrichtigung der Betroffenen zu begründen.

Der Auftragsdatenverarbeiter (§ 11 BDSG) sollte ebenfalls zur Mitteilung möglicher Sicherheitsvorfälle verpflichtet werden . Der Datenschutzbeauftragte sollte Informationen über Anwendbarkeit und Konsequenzen des § 42a BDSG bei der Schulung der Mitarbeiter berücksichtigen und auch bei seinen Datenschutzkontrollen das interne Meldeverfahren zu § 42a BDSG testen.

 

 

Online-Meldung einer Datenpanne nach § 42a BDSG
Weitere Informationen

Merkblatt "Datenpannen" der LfDI Berlin