Was tun bei Datenverlust? – Besondere Informationspflichten nach § 42a BDSG und § 15a TMG

Bemerkt ein Unternehmen, dass es durch Datenschutzverstöße oder durch Hackerangriffe zu einem unberechtigten Zugriff auf seine Systeme und/oder zu Datenverlust kam, dann werden in erster Linie technische Maßnahmen ergriffen. Eine schnelle Sicherung der Systeme ist sicherlich auch richtig – schließlich müssen Lücken schnellstmöglich geschlossen werden, um einen weiteren Zugriff zu verhindern.

Nicht vergessen sollten Unternehmen jedoch auch, dass in Fällen von unrechtmäßiger Datenübermittlung bzw. unrechtmäßiger Kenntniserlangung von Daten (sog. „Datenpannen“) gesetzlich vorgeschriebene Informationspflichten gegenüber den Betroffenen bestehen. Diese sind insbesondere dann zu beachten, wenn „schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der betroffenen Personen drohen“, nämlich immer, wenn folgende Daten von einem Datenschutzverstoß bzw. einer Datenpanne betroffen sind:

  • besondere Arten personenbezogener Daten gemäß § 3 Abs. 9 BDSG (Gesundheit Religionszugehörigkeit, Mitgliedschaft bei einer Gewerkschaft u.a.)
  • personenbezogene Daten, die einem Berufsgeheimnis unterliegen (Ärzten, Rechtsanwälten, Steuerberatern, oder Personenversicherer u.a.)
  • personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder auf einen Verdacht hierauf beziehen
  • personenbezogene Daten zu Bank-und Kreditkartenkonten (Kontonummern mit Bankleitzahl oder Kreditkartennummern u.a.)
  • Bestands-und Nutzungsdaten im Bereich der Telemedien (Internet), z.B. Benutzerkennungen, Passworte

Betroffen sein können einzelne Personen, z.B. bei einem Versand von Arztunterlagen an eine falsche Adresse oder auch große Personengruppen, z.B. bei einem Hackerangriff auf Online-Versandhäuser. Genügen bei einzelnen Betroffenen eine Kontaktaufnahme per Brief oder Anruf, kann eine große Anzahl von Betroffenen bedeuten, dass das Unternehmen Anzeigen in Printmedien über die Datenpanne veröffentlichen muss, um sicherzustellen, dass wirklich alle Betroffene informiert werden. Informiert werden muss auch immer die jeweils zuständige Landesbehörde für Datenschutz.

Das bayrische Landesamt für Datenschutz hat hierfür ein Formular zur Verfügung gestellt, das Unternehmen bei entsprechenden Vorfällen nutzen können. Das Formular bietet auch weitergehende Hinweise zu den Informationspflichten nach § 42a BDSG und § 15a TMG.

Quelle: Bayrisches Landesamt für Datenschutzaufsicht

Quelle: 

Bayrisches Landesamt für Datenschutzaufsicht

Autor: 
Christine Thieme