Notebook mit Daten abhanden gekommen, was nun?

torbz - Fotolia
torbz – Fotolia

Eine vielfach wenig beachtete Vorschrift ist die des § 42 a BDSG betreffend die „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“.

Wenn man bedenkt, dass

  • Weltweit jährlich mehr als 800.000 Notebooks „verloren“ gehen,
  • Pro Woche mehr als 12.000 Notebooks auf US-Flughäfen,
  • Pro Woche mehr als 4.000 Notebooks auf UK-Flughäfen

„verloren“ gehen, davon

  • Mehr als 53% vertrauliche Daten enthalten,
  • Mehr als 65% keinerlei Schutzmaßnahmen enthalten
  • 70% aller gestohlenen Notebooks für Straftaten genutzt werden

Dann erkennt man die Dimensionen der Gefahren für vertrauliche Daten, die durch die Mobilität entstanden sind und weiterhin entstehen werden.

Mehr noch,

  • 61% Deutscher Unternehmen wurden Opfer von Datendiebstählen
  • 44% Deutscher Unternehmen Opfer von Ausspähen von Daten
  • 34% Deutscher Unternehmen Opfer von Computersabotage oder Systembeschädigungen

Quelle: Regmann GmbH www.regmann.de

Unter Berücksichtigung dieser Zahlen erscheint die Vorschrift des § 42a BDSG in einem anderen Licht.

Lassen Sie mich einmal kurz auf diese Vorschrift eingehen. Sie selbst werden feststellen müssen, ob diese auf Sie zutreffen könnte und von Ihnen zu berücksichtigen ist:

Die wichtigsten Punkte sind in § 42a Satz 1 BDSG enthalten

Stellt eine nichtöffentliche Stelle im Sinne des § 2 Abs. 4 oder eine öffentliche Stelle nach § 27 Abs. 1 Satz 1 Nr. 2 fest, dass bei ihr gespeicherte

  1. besondere Arten personenbezogener Daten (3 Abs. 9),
  2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
  3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen oder
  4. personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen.

 

Wer ist speichernde Stelle?

Neben den öffentlichen Stellen ist die nichtöffentliche Stelle im Sinne des § 2 Abs. 4 BDSG betroffen. Es handelt sich hierbei um

  • natürliche Personen
  • juristische Personen
  • Gesellschaften und andere Personenvereinigung des privaten Rechts, letztere nur,
    • soweit sie nicht unter die öffentlichen Stellen fallen,
    • Vereinigungen des privaten Rechts von öffentlichen Stellen sind
    • oder hoheitliche Aufgaben wahrnehmen.

 

Welche Daten sind betroffen?

Als erstes die besonderen Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) wie Daten

  • über die rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder philosophische Überzeugungen,
  • Gewerkschaftszugehörigkeit
  • Gesundheit oder Sexualleben.

Einige dieser Daten finden sich regelmäßig in Personalverwaltungsprogrammen.

Als nächstes sind die personenbezogenen Daten aufgeführt, die einem Berufsgeheimnis unterliegen.

Eine Aufzählung (wohl aber nicht abschließend) des betroffenen Personenkreises finden Sie in § 203 StGB. Ich erspare mir, diesen Personenkreis an dieser Stelle vollständig aufzuführen.

Gerade bei den freien Berufen, wie Rechtsanwälte oder Ärzte werden die Daten immer mehr auf mobilen Datenträgern gehalten, um jederzeit darauf zugreifen zu können. Da die berufsrechtlichen Vorschriften keine dem § 42a BDSG entsprechende Vorschrift enthalten, ist dieser auch auf diese Personengruppen direkt anwendbar, was leider vielfach übersehen wird.

Die in Ziffer 3 und 4 aufgeführten Datengruppen erklären sich von selbst.

Verschulden der speichernden Stelle

Auf ein Verschulden der speichernden Stelle kommt es nicht an. Sie muss weder an der unrechtmäßigen Übermittlung beteiligt, noch eine Kenntnisnahme ermöglicht haben.

Voraussetzung für die Pflicht zur Benachrichtigung

Voraussetzung ist, dass

  • es sich um unrechtsmäßig übermittelt oder auf sonstiger Weise Dritten unrechtmäßig zur Kenntnis gelangte Daten gem. der Ziffern 1 bis 4 (s. oben) handelt
  • u n d
  • das schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des Betroffenen drohen.

Es müssen also immer beide Voraussetzungen zutreffen.

Wer ist zu benachrichtigten?

Es sind immer

  • die Aufsichtsbehörde (der Landesdatenschutzbeauftragte)
  • der Betroffene

zu informieren.

Der Inhalt der notwendigen Information ergibt sich aus § 42a Sätze 3 und 4 BDSG.  Dabei gibt Ihnen 42a Satz 2 BDSG  die Möglichkeit der Beachtung der „Grundsätze verantwortungsvoller Offenlegung“.

Bitte beachten Sie, dass Sie den Betroffenen erst dann unverzüglich informieren müssen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Bezüglich der Benachrichtigung des Betroffenen haben Sie also „mehr Zeit“, als zur Benachrichtigung der zuständigen Aufsichtsbehörde.

Es empfiehlt sich auch, mit der zuständigen Aufsichtsbehörde in einem solchen Fall, vor einer offiziellen Information, ein informelles Gespräch zu führen. Vielfach wird gemeinsam festgestellt werden können, dass es einer Information nach § 42a BDSG nicht bedarf.

Bitte beachten Sie, dass nach § 43 Abs. 2 Ziffer 7 BDSG eine Ordnungswidrigkeit vorliegen kann, wenn eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht wird, die mit einer Geldbuße bis zu 300.000,00 € geahndet werden kann.

Es lohnt sich also in einem Fall des Datenverlustes nach § 42a BDSG unverzüglich rechtlichen Rat einzuholen.

 

 

Ein Gedanke zu „Notebook mit Daten abhanden gekommen, was nun?“

Schreibe einen Kommentar