Wie muss sich ein deutsches Unternehmen bei einem Verlust
sensibler Daten verhalten?
Regelung in § 42a BDSG
Seit der letzten Änderung des Bundesdatenschutzgesetzes
(BDSG) findet sich eine konkrete Regelung für den Verlust besonders sensibler
Daten in § 42a BDSG. Diese Vorschrift zur sogenannten Security-Breach-Notification betrifft unter anderem besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG, z.B. Gesundheitsdaten)
und Bank- oder
Kreditkartendaten. Gehen
diese Daten verloren und drohen schwerwiegende Beeinträchtigungen für die Rechte der
Betroffenen, so sind die Aufsichtsbehörde und die Betroffenen unverzüglich zu informieren.
Unverzügliche Information der Aufsichtsbehörde
und der Betroffenen
Unverzüglich bedeutet in diesem Zusammenhang, dass die
Aufsichtsbehörde zu informieren ist, sobald der Vorfall der datenverarbeitenden
Stelle bekannt wird. Inhaltlich muss die Information “eine Darlegung der Art
der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur
Minderung möglicher nachteiliger Folgen enthalten”. So sollen die Schäden für
die Betroffenen möglichst gering gehalten werden.
Halbseitige Anzeige in zwei Tageszeitungen
Bei der Information der Betroffenen muss beurteilt werden, ob
die Benachrichtigung einen
unverhältnismäßigen Aufwand
darstellt. Dies kann sich z.B. aus der großen Anzahl der Betroffenen
ergeben oder aus der Tatsache, dass nicht alle Anschriften der
Betroffenen bekannt sind. In diesen Fällen erfolgt die
Information durch eine halbseitige Anzeige
in zwei deutschlandweit erscheinenden Tageszeitungen.
Image-Schaden mit enormen Ausmaßen
Auch wenn bislang noch keine Anzeigen geschaltet werden
mussten, ist bei einem Datenverlust das Risiko für das
Unternehmensimage enorm. Da der
Datenschutz in den letzten Jahren immer mehr ins Blickfeld der Öffentlichkeit gerät, wird das Vermeiden
eines Datenlecks für die Außenwirkung eines Unternehmens
geradezu überlebenswichtig.
Stefan Fischerkeller
Kommentare
Kommentar veröffentlichen