Help me! Was tun bei Datendiebstahl oder Datenverlust?
Hand auf’s Herz, wenn’s jetzt auch um ein Reizthema geht: Haben Sie heute schon versucht, Daten zu retten? Im Grunde sind sich alle einig und keiner lehnt sich zu weit aus dem Fenster, wenn er behauptet, dass so ziemlich jeder Anwender von Datenträgern – egal ob privat, gewerblich, gemeinnützig oder anderweitig – schon mal mit dem Worst-Case-Szenario Datenverlust konfrontiert war. Mal quittiert der Laptop oder die externe Festplatte den Dienst ohne fremdes Zutun, mal haben sich Hacker heimlich Zugang zum System verschafft und es lahm gelegt. In jedem Fall ist schnelles Handeln gefragt; sind die Daten zudem in die Hände Dritter gelangt, ist ein Rattenschwanz an Pflichten einzuhalten!
Mittlerweile gibt es unzählige Meldungen über Datenlecks, Datenpannen oder Datendiebstahl, die an die Öffentlichkeit gelangen. Unser Gastautor Felix Gebhard, Rechtsanwalt der Kanzlei BPM legal in München, hat sich exklusiv einige Beispiele auf unserer exali.de Info-Base vorgeknöpft, um zu erläutern, welche Maßnahmen Unternehmen, die Opfer von Datenverlust wurden, nach deutschem Datenschutzrecht zunächst zu ergreifen haben.
Datenpanne: Hackerangriff
Der erste Gedanke bei Datenpannen geht meist in Richtung Hacking. Für den prominentesten Fall der jüngeren Vergangenheit dürfte der (womöglich nordkoreanische) Hackerangriff auf Sony Pictures Entertainment gesorgt haben.
Zuletzt meldeten amerikanische Medien zudem einen besonders schlüpfrigen Fall: So wurde die einschlägige Dating-Seite Adult Friend Finder Ziel eines Hacker-Angriffs. Die Täter erbeuteten private Daten von nahezu vier Millionen Nutzern und veröffentlichten die teils pikanten Informationen im Internet.
Datenverlust fern von Cyber-Kriminalität
Aber auch auf anderen Wegen können personenbezogene Daten unrechtmäßig in die Hände Dritter gelangen. So wurde bei einem Einbruch ein Laptop der niedersächsischen Kleinstadt Schneverdingen gestohlen. Auf der Festplatte befanden sich unter anderem Bankdaten von Bürgern der Gemeinde.
Auch beim Hamburger Big-Data-Start-Up Kreditech gingen Daten von mehreren Tausend Kunden verloren. Die Ursache ist in diesem Fall bisher nicht bekannt; Hacking wird jedoch ausgeschlossen. Der Polizei zufolge müsse sich der Täter „von innen Zugriff auf das Caching-System der Website verschafft haben“. Womöglich ein unzufriedener Mitarbeiter? Ein unzuverlässiger Dienstleister? Beides ist denkbar, treten sie doch in letzter Zeit ohnehin vermehrt ins Visier der Cyber-Polizei.
Datendiebstahl kommt Opfer teuer zu stehen
Während die finanziellen Schäden von Vorfall zu Vorfall variieren, haben alle Fälle eins gemein: Den massiven Imageschaden, den die Datenpanne verursachen kann. Betroffen sind jedoch nicht nur multinationale Großkonzerne, sondern auch Behörden, mittelständische Unternehmen und sogar Startups, deren Existenz womöglich auf der Kippe steht, gilt ihr Unternehmen mitsamt den Produkten als unsicher. Was nun bei der Schadenbegrenzung hilft, wenn Daten von Unternehmen tatsächlich die Biege machen? Richtiges Verhalten und eine wohlüberlegte, transparente Informationspolitik, die sämtliche Informations- bzw. Meldepflichten gemäß des deutschen Datenschutzrechtes umfasst.
Die richtige Information zum richtigen Zeitpunkt
Die einschlägige Vorschrift findet sich in § 42a des Bundesdatenschutzgesetzes (BDSG). Danach müssen im Fall eines Datenverlusts unverzüglich die zuständige Aufsichtsbehörde sowie die Betroffenen informiert werden (sogenannte Security-Breach-Notification).
Doch nicht jeder Datenverlust löst automatisch die Informationspflicht aus. Diese entsteht nur, wenn besonders sensible Daten, die der Gesetzgeber für hochgradig schutzwürdig hält, verloren gehen.
Eine Informationspflicht besteht zunächst gemäß § 42a Satz 1 Nr. 1 BDSG beim Verlust sogenannter „besonderer Arten personenbezogener Daten“. Welche Daten das sind, zählt § 3 Absatz 9 BDSG auf: Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Erlangen Dritte unbefugt Kenntnis von solchen Daten, greift dies regelmäßig besonders schwerwiegend in die Privat- bzw. Intimsphäre der Betroffenen ein.
Im oben erwähnten Fall von Adult Friend Finder bestünde (wenn man von der Geltung deutschen Rechts ausginge) insofern sicherlich eine Informationspflicht. Welche Konsequenzen es für die Betroffenen haben kann, wenn intimste Details aus ihrem Sexualleben veröffentlicht werden, möchte man sich nicht einmal ausmalen.
Gemäß § 42a Satz 1 Nr. 2 BDSG besteht die Informationspflicht zudem beim Verlust personenbezogener Daten, die einem Berufsgeheimnis unterliegen. Berufsgeheimnisträger sind vor allem Ärzte (auch Betriebsärzte) und Psychologen, jedoch beispielsweise auch Rechtsanwälte oder Steuerberater. Ferner löst gemäß § 42 a Satz 1 Nr. 3 BDSG der Verlust von Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen, die Informationspflicht aus.
Besonders praxisrelevant ist § 42a Satz 1 Nr. 4 BDSG, wonach der Verlust von Bank- und Kreditkartendaten zu melden ist. In den oben genannten Fällen der niedersächsischen Kleinstadt sowie von Kreditech dürfte diese Vorschrift einschlägig sein.
Eine kleine Einschränkung enthält § 42a BDSG jedoch: Die Informationspflicht gilt in jedem Fall nur dann, wenn durch die unbefugte Kenntnisnahme durch Dritte schwerwiegende Beeinträchtigungen für die Rechte oder Interessen der Betroffenen drohen. Dabei kann es sich sowohl um materielle, also finanzielle Schäden (z.B. beim Verlust von Kreditkartendaten), als auch immaterielle, also ideelle Schäden (z.B. denkbar im Adult Friend Finder-Fall), handeln. Das Gesetz verlangt vom Unternehmer hier eine eigene Einschätzung, für wie gravierend er die drohenden Schäden hält. An dieser Stelle eine Faustformel aufzustellen wäre kaum möglich. Im Zweifel sollte deshalb immer ein Profi (spezialisierter Rechtsanwalt oder zertifizierter Datenschutzbeauftragter) zu Rate gezogen werden.
Ein Datenverlust und seine Rechtsfolgen
Sobald der Unternehmer durch tatsächliche Anhaltspunkte feststellt, dass unberechtigte Dritte (voraussichtlich) Kenntnis von den Daten erlangt haben, muss er unverzüglich die zuständige Aufsichtsbehörde benachrichtigen. Dies kann je nach Bundesland das Innenministerium (z.B. in Baden-Württemberg), der jeweilige Regierungsbezirk (z.B. in Bayern, Hessen) oder der Landesdatenschutzbeauftragte (z.B. in Berlin, NRW, Niedersachen) sein.
Zudem müssen die von dem Datenverlust Betroffenen benachrichtigt werden und zwar grundsätzlich ebenfalls unverzüglich. Ausnahmsweise kann die Information der Betroffenen in Absprache mit der Aufsichtsbehörde zurückgestellt werden, wenn vorher Sicherheitslücken geschlossen werden müssen oder die Interessen der Strafverfolgung entgegenstehen (§ 42a Satz 2 BDSG). Die Mitteilung muss bestimmt genug sein, damit die Betroffenen sich auf mögliche Beeinträchtigungen einstellen und Maßnahmen zur Schadensbegrenzung ergreifen können, beispielsweise Kreditkarten sperren. Dabei sollten gegebenenfalls konkrete Verhaltensempfehlungen ausgesprochen werden (§ 42a Satz 3 BDSG).
Grundsätzlich sind alle Betroffenen individuell zu benachrichtigen, also z.B. per Brief oder E-Mail. Falls dies mit einem unverhältnismäßigen Aufwand verbunden wäre (beispielsweise wenn zu viele Personen betroffen sind), kann die Benachrichtigung nach Maßgabe des § 42a Satz 5 BDSG durch mindestens halbseitige Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen erfolgen.
Kurz, aber knackig: das Fazit
Das Risiko eines Datenverlusts sollte auf keinen Fall auf die leichte Schulter genommen werden. Gerade angesichts drohender Imageschäden sollten Unternehmen ein besonderes Augenmerk auf geeignete Schutzmaßnahmen gegen Datenverlust und Datendiebstahl werfen; insbesondere auf technische Maßnahmen zur Sicherung und Verschlüsselung, auf die Schulung und Sensibilisierung von Mitarbeitern sowie auf Anweisungen zum Umgang mit mobilen Datenträgern wie Laptops, externen Festplatten und USB-Sticks.
Gehen trotzdem Daten verloren, kann nur noch Schadensbegrenzung betrieben werden. Im Einzelfall kann es problematisch sein, zu beurteilen, wann wem welche Informationen mitgeteilt werden müssen. Zudem gelten für manche Branchen Sondervorschriften, etwa für Telekommunikationsunternehmen in § 109a Telekommunikationsgesetz (TKG).
Es ist deshalb dringend zu empfehlen, unverzüglich einen Datenschutzbeauftragten oder spezialisierten Rechtsanwalt zu konsultieren, um das Vorgehen abzustimmen. Werden Informationspflichten missachtet oder nur unzureichend erfüllt, drohen empfindliche Bußgelder von bis zu 300.000,00 Euro. Vor allem jedoch ist zu bedenken, dass der drohende Imageschaden noch ungleich höher wäre, wenn später der Eindruck entstünde, dass der Vorfall unter den Teppich gekehrt werden sollte oder mit der Informationspolitik geschlampt wurde.
Über unseren Gastautor:
Felix Gebhard ist Rechtsanwalt in der Münchner Kanzlei BPM legal, die schwerpunktmäßig in den Bereichen IP und IT berät. Er ist insbesondere im Online- und Wettbewerbsrecht tätig und bloggt hierzu auf dem Weblog seines Kollegen Christos Paloubis. Über das Thema Datenschutz schreibt er auf seinem eigenen Infoblog.
Weiterführende Informationen: