Ein unvorsichtiger Mitarbeiter, eine Sicherheitslücke im Onlineshop, unverschlüsselte Übermittlung von Daten, oder einfach nur eine falsch adressierte E-Mail. Der Verlust von sensiblen personenbezogenen Daten oder die unbefugte Kenntnisnahme durch Dritte passiert schnell und birgt somit stets präsente Gefahren in sich.

Ein Beispiel für eine solche Datenschutzpanne das sicher jeder kennt, ist die E-Mail in der die Empfänger im CC, statt im BCC, genannt werden. Bei einer solchen E-Mail kennt nun jeder Empfänger die anderen Empfänger der E-Mail. Die Annahme, dass dies nicht so schlimm ist, wird eventuell durch den Kontext des Empfängerkreises problematisch. Wenn es sich um eine E-Mail des eigenen Sportvereines, bezgl. des Trainingslagers handelt, kann ein solcher Vorfall noch entschuldbar sein, handelt es sich hingegen um eine E-Mail des eigenen Arztes, oder eines Physiotherapeuten, kann dies schon einen gravierenden Verstoß gegen Datenschutzrecht bedeuten. Denn damit ist klar das die anderen Personen ebenfalls Patienten bei dem Arzt oder Physiotherapeuten sind, zudem wird eine eventuell private E-Mail-Adresse, die bisher wahrscheinlich den anderen Empfängern nicht bekannt war, veröffentlicht. Gleiches gilt aber auch für eine E-Mail eines ganz normalen Handwerkers, der einem Interessenten ein Angebot zukommen lässt. Denn die Information, dass der Interessent eine bestimmte Handwerksleistung in Anspruch nehmen will, könnte schon die persönlichen Interessen des Empfängers verletzen. Dies wäre beispielsweise dann der Fall wenn das Vorhaben im Vorfeld nicht öffentlich werden soll.

Auch die Anzahl der weltweiten Cyber-Attacken steigt täglich, da es den Angreifern durch moderne Technik heutzutage sehr einfach gemacht wird. Hierbei hat sich das Ziel der Kriminellen in den letzten Jahren drastisch verändert. Es geht nicht mehr um Bargeld, sondern viel mehr um persönliche Informationen wie beispielsweise Daten zu Kreditkarten oder Bankkonten.

Was müssen Sie tun, um souverän zu agieren

Als verantwortliche Stelle liegt Ihre Aufgabe darin, den Schutzbedarf Ihrer Daten zu ermitteln und den Verlust oder den Zugriff durch unbefugte Dritte möglichst schon im Vorfeld zu verhindern. Um diesen Status zu erreichen müssen Sie individuelle Sicherheitsstrategien festlegen und geeignete Maßnahmen einleiten, so dass ein angemessenes Sicherheitsniveau dokumentiert werden kann. Zudem sollten Ihre Mitarbeiter sensibilisiert werden, um möglichst alle potentiellen Fehler schon im Ansatz zu vermeiden.

Kommt es trotz aller Maßnahmen dennoch einmal zu einem Verstoß, sollten Sie wissen, was zu tun ist, schnelles und entschlossenes Handeln schützt Sie vor weiteren Strafen.

Informationspflicht §42a BDSG

Was ist zu tun…

Wenn besonders vertrauliche personenbezogene Daten Dritten unrechtmäßig zur Kenntnis gelangen, greifen die Bestimmungen des § 42a BDSG.

Aber welche Datenarten gelten als besonders vertraulich?

• Gesundheitsdaten und Personaldaten, hierzu zählen auch persönliche Daten, wie Name, Anschrift, im Falle von Gesundheitsdaten kann dies auch schon die Information sein dass ein Patient bei einem bestimmten Arzt in Behandlung ist. Im Falle von Personaldaten, betrifft dies jegliche Informationen die in einer Personalakte gehalten und normalerweise nicht der Öffentlichkeit zur Kenntnis gebracht wird.
• Personenbezogene Daten, die einem Berufsgeheimnis unterliegen (§ 203 StGB). Dies betrifft Steuerberater, Anwälte, Notare, Ärzte. In der Regel ist davon auszugehen, dass fast sämtliche elektronisch gespeicherten Daten von diesen Regeln betroffen sind. Im Falle eines Rechtsanwaltes könnten dies Daten sein, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht auf solche beziehen. Bei Notaren Daten oder Inhalte zu Verträgen, Steuerberater halten Finanzdaten und Ärzte Gesundheitsdaten. Allen gemein, ist das Potenzial solcher Daten, den betroffenen Personen ernsthaften Schaden zuzufügen.
• Personenbezogene Daten zu Bank-und Kreditkartenkonten. Hierzu zählen Kontonummern, Transaktionsdaten, Bankbelege, Kontoauszüge etc.

Als Faustregel können Sie davon ausgehen, dass alle Dinge, die Sie ihren Nachbarn nicht am Zaun erzählen würden, dazu geeignet sind als besonders vertrauenswürdig betrachtet zu werden, insbesondere dann, wenn ein Kontext zu einer bestimmten Person herstellbar ist. Da es eben nicht nur auf die Einzelinformation ankommt, sondern auch darauf ob mit diese Information, auch unter Zuhilfenahme weiterer Mittel, ein Zusammenhang zu einer weiteren Person herstellbar ist.

Die verantwortliche Stelle muss die Betroffenen und die zuständige Datenschutz-Aufsichtsbehörde informieren, sofern daraus für den Betroffenen schwerwiegende Beeinträchtigungen seiner Rechte oder seiner schutzwürdigen Interessen entstehen können. Dabei ist die Auslegung des schutzwürdigen Interesses je nach Gerichtsstand unterschiedlich zu beurteilen, was dazu führt, dass im Zweifel lieber einmal zu oft informiert werden sollte, als einmal zu wenig. Je nach Bundesland und der aktuellen Rechtsverfolgungspraxis ziehen unterlassene Informationen empfindliche Bußgelder nach sich und die ein oder andere Datenschutzpanne schafft es dann auch in die Medien.

WICHTIG!

Im Falle einer nicht richtigen, nicht rechtzeitigen oder nicht vollständigen Benachrichtigung, unabhängig ob fahrlässig oder vorsätzlich, können Sie mit einem Bußgeld von bis zu 300.000 Euro belangt werden!

Benachrichtigungspflicht bei Datenschutzpannen

So müssen Sie vorgehen:

Der Betroffene ist unverzüglich zu informieren, sobald angemessene Maßnahmen zur Wiederherstellung

der Sicherheit der Daten ergriffen sind. Grundsätzlich ist jeder Betroffene einzeln zu benachrichtigen, z. B. per Briefpost. Bei einem unverhältnismäßig hohen Benachrichtigungsaufwand oder wenn die Betroffenen nicht genau bestimmt werden können, bleibt als Alternative nur die Information der Öffentlichkeit. Das bedeutet eine mindesthalbseitige Veröffentlichung in nicht weniger als zwei bundesweit erscheinenden Tageszeitungen. Wer die Preislisten solcher Tageszeitungen genauer betrachtet, der wird schnell feststellen, dass die Information der Betroffenen auf anderem Wege in den allermeisten Fällen die wesentlich günstigere Alternative darstellt.

Zudem muss die Aufsichtsbehörde benachrichtigt werden, sobald die verantwortliche Stelle Kenntnis über die Datenpanne erhalten hat. Dabei muss die verantwortliche Stelle zusätzlich zu den Informationen an den Betroffenen folgende Sachverhalte mitteilen:

Zeitpunkt der Datenpanne und der Feststellung, betroffene Daten und Art der unrechtmäßigen Übermittlung oder Kenntnisnahme, Darlegung möglicher nachteiliger Folgen für den Betroffenen, konkrete Darlegung der ergriffenen oder geplanten Maßnahmen zur Wiederherstellung der Sicherheit der Daten und der Vermeidung für die Zukunft, Status der Benachrichtigung der Betroffenen.

Wer bereits einmal mit einer öffentlichen Stelle eine derartige Prozedur durchlaufen hat, der will diese Erfahrung in der Regel nicht wiederholen.

Fazit:

In Bayern wurden Strafen von 300.000€, für ein mittelständisches Unternehmen, meines Wissens nach, noch nicht verhängt. Aus den Erfahrungen der Vergangenheit wissen wir aber, dass mit zunehmenden medialen Interesse, die Strafhöhen und Häufigkeiten tendenziell steigen. UNd dsa Mediale Interesse an diesem Thema ist sicherlich, nicht nur wegen dem Hackerangriffen auf US Ministerien und den Deutschen Bundestag hoch.

So Zynisch es klingt, aber in solchen Fällen kann man eigentlich nur hoffen, dass alle von einem Richter als notwenig erachtete Maßnahmen getroffen waren und man dies auch beweisen kann. In einem solchen Fall wird eine Strafe, wahrscheinlich eher sehr milde ausfallen, wenn nicht sogar nur eine Verwarnung ausgesprochen wird. Vor diesem Hintergrund ist es allerdings ausgesprochen interessant wie viele Unternehmen noch nicht einmal wirksam einen Datenschutzbeauftragten bestellt haben.