Frankfurt, 23. September 2014
Es ist eine Bedrohung des modernen Zeitalters, sogenannte Hackerangriffe auf IT-Systeme. Im Fokus stehen internationale Großkonzerne, öffentliche Einrichtungen und auch kleiner Unternehmen. Oftmals sind diese Hackerangriffe feindlich ausgerichtet, so ist es nicht alleiniges Ziel Schwachstellen aufzudecken, sondern auch daraus einen Nutzen zu ziehen. In diesem Fall dienen die Angriffe dazu, Geschäftsdaten wie Benutzerkonten von Kunden, Emailadressen und Passwörter zu erlangen. Schwachstellen können Hacker über interne Ressourcen wie des unternehmensinternen Netzwerkes als auch externe Ressourcen wie externe Cloud Anbieter oder Mobiltelefone der Mitarbeiter entdecken. Von diesen feindlichen Angriffen von außen auf das Unternehmen, sind Datenpannen aus dem Inneren des Unternehmens zu unterscheiden. Auch Datenpannen können dazu führen, dass unberechtigte Dritte Daten erlangen, zum Beispiel durch Diebstahl von Daten oder die fahrlässige Versendung von Nachrichten an einen falschen Empfänger.
§ 9 BDSG nebst Anlage zu § 9 S.1 BDSG sieht vor, das Unternehmen technische und organisatorische Maßnahmen treffen, um die Ausführung der Vorschriften zum BDSG zu gewährleisten. Hackerangriffe sind jedoch kaum vorhersehbar und das Angriffsrisiko kann präventiv nicht mit der notwendigen Sicherheit ausgeschlossen werden. Kommt es zu internen Datenpannen oder zu externen Angriffen auf Daten stellt sich daher für das Unternehmen in Bezug auf den Datenschutz die Frage, welche Maßnahmen nach einem ordnungsgemäßen Risikomanagement zu treffen sind und welche Konsequenzen ein Untätigbleiben haben könnte.
Voraussetzungen der Informationspflicht nach § 42 a BDSG
Gemäß § 42a BDSG besteht im Falle eines Datenverlusts (intern oder extern), das heißt der unrechtmäßigen Kenntniserlangung von Informationen durch Dritte, für die verantwortliche Stelle, die Pflicht sowohl die Aufsichtsbehörde als auch die Betroffenen zu benachrichtigen. Die Pflicht richtet sich an nichtöffentliche Stellen und öffentlich- rechtliche Wettbewerbsunternehmen. Voraussetzung für die Informationspflicht ist, dass für die Betroffenen schwerwiegende Beeinträchtigungen drohen. Ob diese Voraussetzung erfüllt ist, ist von der verantwortlichen Stelle zum Zeitpunkt der Feststellung der unrechtmäßigen Kenntniserlangung im Wege eine Gefahrenprognose zu ermitteln. Die Prognose bezieht sich dabei darauf, ob für die materielle und/ oder immaterielle Interessen des Betroffenen erheblich nachteilige Auswirkungen zu erwarten sind. Mit der Schwere der möglichen Beeinträchtigung sinken die Anforderungen an die Wahrscheinlichkeit eines Schadenseintritts. Die Informationspflicht an die Aufsichtsbehörde besteht unabhängig davon ob nur eine Person oder eine Vielzahl von Personen betroffen sind.
Die Informationspflicht gemäß § 42 a BDSG besteht nur, sofern eine der folgenden personenbezogenen Datenarten betroffen ist:
- besondere Arten personenbezogener Daten i.S.v. § 3 Absatz 9 BDSG, das sind Angaben über die rassische oder ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben
- personenbezogene Daten, die einem Berufsgeheimnis unterliegen
- personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen
- personenbezogene Daten zu Bank- und Kreditkatenkonten
Liegen diese Voraussetzungen vor, so hat die verantwortliche Stelle unverzüglich die Aufsichtsbehörde und die Betroffenen zu informieren. Unverzüglich bedeutet dabei ohne schuldhaftes verzögern. Der verantwortlichen Stelle steht eine nach den Umständen des Einzelfall bemessene Prüfungs- und Überlegungsfrist zu.
Folgen einer Verletzung von § 42a BDSG
§ 43 Absatz 2 Nummer 7, Absatz 3 BDSG sieht im Falle eines Verstoßes gegen § 42a BDSG durch eine nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfüllte Informationspflicht, ein Bußgeld in Höhe von bis zu 300.000 € vor.