Informationspflicht

Im Falle einer Datenpanne müssen die Betroffenen und die Datenschutz-Aufsichtsbehörde nach § 42a BDSG informiert werden. Dieser Paragraf wurde aufgrund von diversen Datenschutzskandalen, z. B. bei Deutscher Telekom und Deutscher Bahn, im Rahmen der Datenschutz-Novellierung 2009 eingefügt.

Rechtsgrundlagen: § 42a BDSG, § 15a TMG, § 93 (3) TKG (Unrechtmäßige Kenntniserlangung von Daten)

Wann liegt eine Informationspflicht vor?
Ein Unternehmen (= verantwortliche Stelle) muss immer dann über eine Datenpanne informieren, wenn alle nachstehenden Voraussetzungen vorliegen:

  1. Die verantwortliche Stelle erkennt, dass ihr sensible Daten „abhanden“ gekommen sind. Das heißt, entweder
    – ein Dritter hat unrechtmäßig Kenntnis von den Daten erlangt (z. B. Hacker) oder
    – das Unternehmen hat selbst Daten unrechtmäßig an Dritte übermittelt.
  2. Es muss sich dabei um personenbezogene Daten handeln, die aus einer der folgenden Kategorien stammen:
    – Besondere Arten von personenbezogenen Daten z. B. Daten die dem Berufsgeheimnis unterliegen,
    – Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht darauf beziehen
    – Daten von Bank- oder Kreditkartenkonten
  3. Für den Betroffenen müssen aufgrund der Panne schwerwiegende Beeinträchtigungen drohen, etwa finanzieller Schaden (Kontodaten) oder die Gefahr eines Identitätsdiebstahls.

Es sind folgende Stellen zu informieren:
– die zuständige Aufsichtsbehörde
– die Betroffenen, diejenigen, um deren Daten es geht.

Falls eine persönliche Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordert (z. B. viele Betroffene), so muss stattdessen die Öffentlichkeit informiert werden. Dies kann durch mindestens halbseitige Anzeige in mindestens zwei bundesweit erscheinenden Tageszeitungen erfolgen oder durch vergleichbare Maßnahmen (z. B. Radio oder TV).