Personenbezogene Daten sind futsch! Ein Rechtsleitfaden für den Fall der Fälle

Datenpanne – Was ist zu tun?

| Autor / Redakteur: Kathrin Schürmann / Ulrike Ostler

Wenn es passiert ist - die Daten sind abhanden gekommen - haben Unternehmen den Informationspflichten gemäß dem Bundesdatenschutzgesetz unverzüglich nachzukommen. Sonst droht der Untergang.
Wenn es passiert ist - die Daten sind abhanden gekommen - haben Unternehmen den Informationspflichten gemäß dem Bundesdatenschutzgesetz unverzüglich nachzukommen. Sonst droht der Untergang. (Bild: Andreas Danti/ Fotolia)

Wenn Daten im Unternehmen abhandenkommen, gibt es viel zu beachten – oft vergessen werden dann die Informationspflichten nach dem Bundesdatenschutzgesetz. Hier gibt es Aufklärung.

Es ist passiert: Der Fall der Fälle ist eingetreten, den jedes Unternehmen zu vermeiden versucht. Die im Unternehmen vorhandenen personenbezogenen Daten der Mitarbeiter oder Kunden sind abhanden gekommen, sei es durch eine Datenschutzpanne, ein Datenleck oder gar durch einen Hackerangriff.

In einem solchen Fall steht im Fokus vieler Unternehmen, die Ursache schnellstmöglich zu beheben – vergessen werden dabei oft die rechtlichen Informationspflichten, die für Unternehmen in solchen Situationen immer bestehen. Werden solche Informationspflichten nicht beachtet und die Betroffenen nicht unverzüglich von der Datenpanne unterrichtet, ist mit Bußgeldern von bis zu 300.000,00EUR zu rechnen.

Die folgende Übersicht über die Informationspflichten nach dem Bundesdatenschutzgesetz (§ 42a BDSG) soll Unternehmen einen kleinen Leitfaden für den Fall der Fälle an die Hand geben.

Wann müssen die Informationspflichten nach dem Bundesdatenschutzgesetz beachtet werden?

Ein Unternehmen ist nach dem Bundesdatenschutzgesetz verpflichtet, die Betroffenen, also diejenigen, deren Daten abhanden gekommen sind, sowie die Aufsichtsbehörde zu unterrichten, wenn personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind.

Grundsätzlich gelten diese Informationspflichten also immer dann, wenn Daten aufgrund einer Panne im Unternehmen, zum Beispiel wenn die Kundendatenbank an einen unberechtigten Dritten übermittelt wurde oder aber wenn aufgrund eines Hacker-Angriffs oder andere Umstände Kundendaten abhanden gekommen sind.

Welche Daten sind dies?

Die Informationspflichten nach dem Bundesdatenschutzgesetz greift dann ein, wenn (1) besondere Arten von personenbezogenen Daten, das heißt: Daten, über die rassische und die ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, (2) personenbezogene Daten, die einem Berufsgeheimnis unterliegen, also solche Daten, die beispielsweise der ärztlichen oder rechtsanwaltlichen Schweigepflicht unterliegen, (3) personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen, oder (4) personenbezogene Daten zu Bank- oder Kreditkartenkonten, abhanden gekommen sind,

Gehen diese Daten verloren, sind die Betroffenen darüber zu informieren.

Gibt es weitere Voraussetzungen?

Die Informationspflicht setzt weiterhin voraus, dass dem Betroffenen durch die Kenntnisnahme des Dritten schwerwiegende Beeinträchtigungen drohen. Hierbei geht es um Beeinträchtigungen materieller oder immaterieller Art.

Einfaches Beispiel: Gehen Kreditkartendaten verloren, besteht hier für die Betroffenen die Gefahr, dass jemand diese Daten missbraucht und dem Betroffenen ein finanzieller Schaden entsteht. Aber die Betroffenen können auch dadurch beeinträchtigt werden, dass z.B. ihre Gehaltskonditionen oder ihre Gehaltskontodaten bekannt werden.

Wer muss informiert werden?

Bei einer Datenpanne sind sowohl die Betroffenen, also diejenigen Personen, deren Daten abhanden gekommen sind, als auch die zuständige Aufsichtsbehörde zu informieren. Dies sind die jeweiligen Landesdatenschutzbehörden, in dem Bundesland, in dem das jeweilige Unternehmen seinen Sitz hat.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 36023500 / Notfallmanagement)