198
5. Meldepflicht bei Datenverlusten
Als weitere Neuregelung nach den Datenmissbrauchsskandalen sieht das BDSG vor, dass in bestimmten Fällen die verantwortliche Stelle die Aufsichtsbehörde, aber auch den Betroffenen zu unterrichten hat.Eine Meldepflicht wird nur bei einer unrechtmäßigen Übermittlung oder einer sonstigen unrechtmäßigen Kenntniserlangung von Daten ausgelöst. Folgende Daten müssen betroffen sein:
- besonders schutzwürdige Daten nach § 3 Abs. 9 BDSG (Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben),
- personenbezogene Daten, die einem Berufsgeheimnis unterliegen (Daten von Rechtsanwälten, Ärzten und Apothekern),
- personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen oder
- personenbezogene Daten zu Bank- oder Kreditkartenkonten.
In der Praxis werden insbesondere die Bank- oder Kreditkartenkonten als Auslöser einer Meldepflicht auftreten. Weitere Voraussetzung für die Meldepflicht ist aber, dass eine schwerwiegende Beeinträchtigung der Rechte der Betroffenen oder der geschützten Interessen droht. Hier wird es wohl genügen, dass aufgrund des Verlustes von Bank- oder Kreditkartendaten eine unrechtmäßige Abbuchung von Geldbeträgen wahrscheinlich ist.
Die verantwortliche Stelle muss in diesem Fall unverzüglich die Aufsichtsbehörde informieren und darlegen, welche möglichen nachteiligen Folgen eintreten können. Zusätzlich muss dargelegt werden, welche Maßnahmen die verantwortliche Stelle zur Vermeidung möglicher nachteiliger Folgen ergriffen hat.
Außerdem ist der Betroffene über den Datenverlust zu informieren. Das Unternehmen muss auf die Art der unrechtmäßigen Kenntniserlangung hinweisen und Empfehlungen für die Minderung möglicher nachteiliger Folgen aussprechen. Soweit diese Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, tritt an die Stelle der Information des Betroffenen die Information der Öffentlichkeit durch Anzeigen in zwei bundesweit erscheinenden Zeitungen. Diese Anzeigen müssen mindestens eine halbe Seite umfassen. Das Gesetz gestattet aber auch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. Dies betrifft insbesondere solche Fälle, in denen die Betroffenen sich in einem regional abgrenzbaren Kreis befinden und daher eine Information in bundesweit erscheinenden Tageszeitungen unverhältnismäßig wäre.
Die unvollständige oder auch nicht rechtzeitige Information kann mit einem Bußgeld bis zu 300.000 Euro geahndet werden und begründet zusätzliche Haftungsrisiken für das Unternehmen.
Was es zu beachten gilt:
> Schützen Sie besonders die Bank- und Kreditkartendaten von Kunden.> Im Fall des Verlustes dieser Daten – auch im Fall der unrechtmäßigen Übermittlung – bestehen Informationspflichten gegenüber dem Betroffenen und der Aufsichtsbehörde, sofern eine schwerwiegende Beeinträchtigung der Rechte der Kunden droht.
ZURÜCK 4. Erweiterte Kompetenzen der Aufsichtsbehörde
