Darf nicht passieren… ist aber passiert….

Ein datenschutzrechtlicher Grundsatz beim Umgang mit personenbezogenen Daten ist, dass die Daten vor dem Zugriff und der Kenntnisnahme von Unberechtigten zu schützen ist. Ein anderer allgemeiner Alltags-Grundsatz ist Murphys Law.

Tritt bei der Verarbeitung von personenbezogenen Daten eine Panne auf, ist dies vor allem auch deshalb problematisch, weil Daten von Anderen verarbeitet werden. Werden diese Daten bekannt oder erhalten Dritte hierauf Zugriff, dann entstehen Nachteile oder gar Schäden primär bei den Personen, über die die Daten etwas aussagen.

(Leider) Klassische Beispielsfälle sind z.B.

  • Mails mit sensiblem Inhalt (z.B. Anschreiben an Probanden einer medizinischen Studie) mit Adressen im cc-Feld statt im bcc-Feld: Alle Teilnehmer erhalten so Kenntnis, wer noch Proband ist, inkl. Kontaktangabe.
  • Offenliegen von Passwortlisten oder Zugangscodes für personenbezogene Dienste (Mailanwendungen, Nutzerportale, Rechnungseinsicht)
  • Fehlerhaft administrierte Datenbanken, welche unautorisierte Zugriffe ermöglichen.
  • Erfolgreiche Hackerangriffe auf Datenbanken oder Applikationen mit sensiblen Daten
  • Weitgreifende Sicherheitslücken, insbesondere wenn sie erst nach langer Dauer bekannt werden.

 

In diesen Fällen gilt es doppelt schnell zu handeln.

  • Einerseits auf technischer/tatsächlicher Ebene, um den faktischen Mißstand abzustellen (z.B. Sicherheitslücken patchen). Dazu bedarf es eines energischen Griffs an die eigene Nase, sprich: einer gründlichen Analyse, wie es zu der Panne gekommen ist und die Festlegung konkreter Maßnahmen, mit denen erneute Fälle wirksam verhindern werden.
  • Der zweite Teil mag für manche (noch) unangenehmer sein, ist aber (gerade deshalb) gesetzliche Pflicht: So sind die Betroffenen und der Landesbeauftragte für den Datenschutz unverzüglich in Kenntnis zu setzen, dass es zu einer Datenpanne/Datenleck gekommen ist und Daten unrechtmäßig übermittelt wurden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Unverzüglich ist ein Fachausdruck, den Juristen übersetzen als „ohne schuldhaftes Zögern“, im Klartext:

Sofort! Für Verzögerungen bräuchte man einen wirklich überzeugenden Grund!

Verantwortlich dafür, dass die Meldungen unverzüglich erfolgen, ist die Datenverarbeitende Stelle.

Natürlich sollten Sie den zuständigen, für die HU also den Behördlichen Datenschutzbeauftragten, kontaktieren. Ist das ausnahmsweise nicht möglich, muss der Berliner Beauftragte für den Datenschutz direkt informiert werden, um die gesetzlichen Fristen einzuhalten.

Grund für die Eile ist, dass die Betroffenen möglichst schnell Gegenmaßnahmen einleiten können sollen, damit der Schaden so begrenzt wie möglich bleibt (z.B. Kreditkarten sperren, Passwörter ändern, Kontobewegungen überwachen). Daher gehören zur Mitteilung auch Hinweise, wie sich Betroffene bestmöglich gegen einen Mißbrauch bekannt gewordener Daten schützen können.

Die gesetzliche Meldepflicht nach § 18a BlnDSG ist zwar auf schwere Fälle begrenzt. So müssen „schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen“ drohen. Wann das aber genau der Fall ist, hängt vom Einzelfall ab. Geht es um „besondere Arten personenbezogener Daten“ (§ 6a BlnDSG; § 3 Absatz 9 BDSG), personenbezogenen Daten, die einem Berufsgeheimnis unterliegen (z.B. ärztliche Schweigepflicht), personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder personenbezogene Daten zu Bank- oder Kreditkartenkonten, dann dürfte in jedem Fall eine Meldepflicht bestehen. Im Zweifelsfall hilft der Behördliche Datenschutzbeauftragte weiter.

Beim Landesdatenschutzbeauftragten des Landes Berlin gibt es weitere Informationen zur Meldepflicht und zu deren Inhalt.

 

Edit: Text zum “zweiten Teil” direkt an den Gesetzeswortlaut angepasst. (5.12.14, 13:59)

5. Dezember 2014 | Veröffentlicht von Ansgar Heitkamp
Veröffentlicht unter Allgemein