Kanzlei Mitarbeiter Kontakt Impressum Datenschutz

Informationspflicht bei Datenpannen: 11 Fragen und Antworten zu § 42a BDSG

16.07.2010 | Allgemeines | Datenschutz und IT-Sicherheit | Publikationen | von Dr. Michael Karger

Informationspflichten bei Datenpannen gibt es in den USA schon lange. Deutschland hat Informationspflichten erst 2009 eingeführt. Vielen Unternehmen ist der neue § 42a BDSG noch unbekannt.  Bei den Übrigen herrscht oft Unsicherheit, welche Pflichten die Vorschrift vorsieht und wie im Ernstfall mit einer Datenpanne umzugehen ist. Im Folgenden finden Sie einige wesentliche Informationen in Stichpunkten. Weitere Informationen finden Sie im Vorabdruck eines mittlerweile im Heft 07 des IT-Rechtsberaters erschienen Beitrags, den Sie Unten bei "Download" herunterladen können.


1. Was sind die Rechtsgrundlagen?

  •  § 42a BDSG (Grundnorm)
  •  § 15 TMG (Telemediendienste - Onlineanbieter)
  •  § 93 Abs. 3 TKG (Telekommunikationsanbieter)

2. Sanktionen bei Verstoß?
 
  • § 43 Abs. 2 Nr. 7 i.V.m. § 43 Abs. 3 BDSG: Geldbuße von bis zu 300.000 EUR, unter bestimmten Voraussetzungen auch höher.

3. Wen trifft die Pflicht?


Privatunternehmen und öffentlich-rechtliche Wettbewerbsunternehmen. Unklar, ob auch Auftragsdatenverarbeiter (Outsourcing-,  ASP-Provider, Fernwartung) erfasst.

4. Welche Daten sind betroffen?

Nicht auf alle personenbezogene Daten schlechthin, sondern nur bestimmte personenbezogene Daten.

Erfasst werden vier Kategorien:
  • Besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), u.a. Angaben über ethnische Herkunft, politische Meinungen, religiöse Überzeugungen und Gesundheit;
  • personenbezogene Daten, die einem Berufsgeheimnis unterliegen;
  • personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder einen diesbezüglichen Verdacht beziehen;
  • personenbezogene Daten zu Bank- und Kreditkartenkonten.

5. Wem ist die Information mitzuteilen?

  • Zuerst die Aufsichtsbehörde,
  • dann dem Betroffenen.

6. Welche Umstände müssen mitgeteilt werden?

  • Unrechtmäßige Kenntnisnahme Dritter.
  • Drohende schwerwiegende Beeinträchtigung für den Betroffenen.

7. Welchen Inhalt muss die Information haben?

  • Behörde und Betroffener sind über die Art der unrechtmäßigen Kenntniserlangung zu unterrichten.
  • Dem Betroffenen müssen Empfehlungen gegeben werden, wie er nachteilige Folgen mindern kann.
  • Die Behörde ist über mögliche nachteilige Folgen und zwischenzeitlich ergriffene Maßnahmen zu informieren.

8. Wie schnell ist zu informieren?


  • Unverzüglich, d.h. ohne schuldhaftes Zögern.
  • Der Betroffene ist allerdings erst dann in Kenntnis zu setzen, wenn angemessene Maßnahmen zur Sicherung der Daten ergriffen worden sind und ggf. eine Strafverfolgung nicht mehr gefährdet ist.
  • Im Regelfall dürfte eine den Umständen angemessene Prüfungs- und Überlegungsfrist gelten, die die Möglichkeit einschließt, rechtlichen Rat einzuholen.

9. Was tun bei Fragen?


  • Rechtsrat einholen.
  • Mit Aufsichtsbehörde Kontakt aufnehmen. Diese hat (auch)auch die Aufgabe, zu beraten und zu unterstützen (§ 38 Abs. 1 BDSG).

10. Welche Form muss die Benachrichtigung haben?


  • Das Gesetz gibt keine besondere Form vor.
  • Es ist grundsätzlich zu empfehlen, die entsprechenden Informationen schriftlich bzw. jedenfalls in nachweisbarer Form mitzuteilen.
  • Bei einer Vielzahl von Betroffenen kann die individuelle Benachrichtigung durch die Information der Öffentlichkeit mittels Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch gleich geeignete Maßnahmen ersetzt werden.
 
11. Kann die Information in einem Prozess gegen das Unternehmen verwendet werden?

  • Im Hinblick auf eine Strafverfolgung sieht § 42a Abs. 6 BDSG ein Verwendungsverbot für Straf- und Ordnungswidrigkeitenverfahren vor.
  • Zivilrechtliche Schadensersatzansprüche sind hingegen nicht von einem Verwendungsverbot betroffen.

Download:
 Data_Breach_ITRB_07_2010.pdf

08.08.2022

Ausgezeichnet


JUVE-Handbuch 2016/2017 empfiehlt erneut TCI Rechtsanwälte

mehr

 

Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Wir beraten Sie zu den neuen Anforderungen, den drohenden Risiken und zur der Umsetzung erforderlicher Maßnahmen zur Gewährleistung der Datenschutz- Compliance.

mehr

 

IT-Beschaffung und Ausschreibung

Sie finden bei uns Informationen zur Ausschreibung und Beschaffung von Software durch die öffentliche Hand - z.B. Beschaffung von Gebrauchtsoftware, Open-Source-Software oder über Rahmenverträge.

mehr

 

Aktuelle Veröffentlichungen

Carsten Gerlach, Sicherheitsanforderungen für Telemediendienste - der neue § 13 Abs. 7 TMG, in: CR 2015, 581


Carsten Gerlach, Personenbezug von IP-Adressen, in: CR 2013, S. 478


Carsten Gerlach, Vergaberechts- probleme bei der Verwendung von Open-Source-Fremdkomponenten, in: CR 2012, S. 691


Michael Karger,
BGH: "Handlungsanweisung" für Hostprovider bei möglicherweise persönlichkeitsrechtsverletzendem Blogbeitrag, in: GRUR-Prax 2012, S. 35

 

IT-Recht im beck-blog

blog zum IT-Recht von Dr. Michael Karger im Experten-blog des Verlags C.H. Beck