Daten­panne

Hätten Sie es gewusst? Pas­siert in Ihrem Unter­nehmen eine Daten­panne, so müssen Sie, unter bestimmten Vor­aus­set­zungen, unver­züglich die für Sie zuständige Auf­sichts­be­hörde sowie die Betrof­fenen infor­mieren. Tun Sie das nicht, ris­kieren Sie, neben den sons­tigen nega­tiven Aus­wir­kungen der Daten­panne, ein recht def­tiges Bußgeld von bis zu 300.000 Euro.

Gesetz­liche Rege­lungen

Die Infor­ma­ti­ons­pflicht ist im § 42a des Bun­des­da­ten­schutz­ge­setzes (BDSG) geregelt und bereits seit 01.09.2009 in Kraft. Sie gilt für Pannen mit bestimmten per­so­nen­be­zo­genen Daten:

• per­so­nen­be­zogene Daten, die einem Berufs­ge­heimnis unter­liegen (z.B. der ärzt­lichen oder anwalt­lichen Schwei­ge­pflicht, dem Steu­er­­be­­rater- oder Wirt­schafts­prüf­erge­heimnis etc.)
• per­so­nen­be­zogene Daten, die sich auf strafbare Hand­lungen oder Ord­nungs­wid­rig­keiten beziehen
• per­so­nen­be­zogene Daten zu Bank- oder Kre­dit­kar­ten­konten
• besondere Arten per­so­nen­be­zo­gener Daten (d.h. Angaben über ras­sische und eth­nische Her­kunft, poli­tische Mei­nungen, reli­giöse oder phi­lo­so­phische Über­zeu­gungen, Gewerk­schafts­zu­ge­hö­rigkeit, Gesundheit oder Sexu­al­leben)

Unter­liegt Ihr Unter­nehmen dem Tele­kom­mu­ni­ka­ti­ons­gesetz (TKG) bzw. dem Tele­me­di­en­gesetz (TMG) gelten bereichs­spe­zi­fische Rege­lungen.

Das kann auf Ihr Unter­nehmen nicht zutreffen? Ich denke schon. Sie haben sicherlich Infor­ma­tionen zu Bank- oder Kre­dit­kar­ten­konten Ihrer Lie­fe­ranten und Kunden gespei­chert. Zumindest ent­halten die zur Lohn­ab­rechnung und –buch­haltung über Ihre Mit­ar­beiter vor­lie­genden Daten Angaben zur Kir­chen­zu­ge­hö­rigkeit und damit zu reli­giösen Über­zeu­gungen oder Angaben zur Schwer­be­hin­derung und damit Gesund­heits­daten.

Was ist eine Daten­panne

Was ist nun eine Daten­panne? Im BDSG findet sich der etwas sperrige Begriff der unrecht­mä­ßigen Kennt­nis­er­langung. Wenn die Offen­barung der Daten an einen Unbe­rech­tigten wahr­scheinlich erfolgt ist, liegt eine Daten­panne vor. Das kann die aus Ver­sehen an den fal­schen Emp­fänger gesendete E‑Mail, aber auch das ver­lorene Notebook oder Smart­phone mit gespei­cherten Daten sein. Zu melden sind Daten­pannen aller­dings nur, wenn schwer­wie­gende Beein­träch­ti­gungen für die Betrof­fenen drohen. Die Ein­schätzung, ob dies im Ein­zelfall zutrifft, ist natürlich schwierig. Hier muss die Gefahr bewertet werden, ob ein unbe­rech­tigter Emp­fänger die Daten in einer für die Betrof­fenen schä­di­genden Weise ver­wendet, z.B. durch Wei­tergabe oder Ver­öf­fent­li­chung. Im Zweifel sollten Sie der Infor­ma­ti­ons­pflicht lieber nach­kommen, als eine Benach­rich­tigung zu unter­lassen. Ansonsten droht ein Bußgeld von bis zu 300.000 Euro. Dabei ist es uner­heblich, ob Sie der Infor­ma­ti­ons­pflicht absichtlich nicht nach­ge­kommen sind oder die Meldung fahr­lässig, z.B. aus Unkenntnis, nicht durch­ge­führt haben.

Sie sollten also in Ihrem Unter­nehmen unbe­dingt Ihre Mit­ar­beiter infor­mieren und Mel­de­pro­zesse defi­nieren, damit Sie auch jede Daten­panne kennen. Gemeinsam mit Ihrem Daten­schutz­be­auf­tragten müssen Sie dann vor­kom­mende Daten­pannen bewerten. Sofern Sie keinen Daten­schutz­be­auf­tragten bestellen müssen, trifft die Pflicht zur Umsetzung des BDSG den Leiter des Unter­nehmens.