Datenschutznovelle – Das müssen Unternehmen beachten
Heute, am 28. Januar 2010, ist der 4. Europäische Datenschutztag – das haben wir zum Anlass genommen, den Unternehmen nochmal genau vor Augen zu führen, welche Bedeutung die Datenschutznovelle hat und was genau beachtet werden muss.
Behörden und Betroffene aufklären
Für jedes Unternehmen, das relevante Daten verarbeitet und speichert, ergeben sich aus der Novelle eine Reihe von neuen Pflichten. Falls festgestellt wird, dass solche Daten das Unternehmen unrechtmäßig verlassen oder Unbefugte darauf zugegriffen haben, muss dies unverzüglich der zuständigen Aufsichtsbehörde gemeldet werden. Dabei muss das Unternehmen die Ursachen des Datenverlustes nennen sowie über mögliche Folgen informieren. Zudem sollte es bereits erfolgte Notfallmaßnahmen aufführen.
Parallel dazu muss das Unternehmen die Betroffenen darüber aufklären, dass und in welcher Weise ihre Daten gefährdet wurden. Weiter müssen sie erfahren, was sie selbst unternehmen können, um mögliche Folgen zu mildern – zum Beispiel durch die umgehende Sperrung einer kompromittierten Kreditkarte oder gar die Änderung der Bankverbindung. Wird die individuelle Information der Betroffenen zu aufwändig, beispielsweise weil ihre Zahl in die Tausende oder gar Millionen geht, kann das Unternehmen diese Information auch alternativ durch mindestens halbseitige Anzeigen in zwei bundesweit erscheinenden Tageszeitungen veröffentlichen.
Keine Zeit verlieren beim Melden von Datenverlust
“Während die Meldung an die Behörde sofort geschehen muss, sollte das betroffene Unternehmen jedoch zunächst angemessene Maßnahmen zur Schadensbegrenzung und Datensicherung ergreifen, bevor die Betroffenen informiert werden. Diese Möglichkeit gewährt das Gesetz, um sicher zu stellen, dass dadurch eine mögliche Strafverfolgung nicht gefährdet wird”, so Schultze-Melling weiter.
Ungeklärt ist die für die Praxis wichtige Frage, wann genau ein Unternehmen festgestellt hat, dass Daten unrechtmäßig übermittelt wurden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Ebenfalls offen bleibt, in welchen Fällen dadurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen, wie es das Gesetz beschreibt. Schultze-Melling: “So ist fraglich, ob ein dringender Verdacht ausreichend ist, oder ob ein noch höheres Maß an Sicherheit vorliegen muss. Es ist jedoch absehbar, dass auch eine fahrlässig nicht erfolgte Kenntniserlangung geahndet werden kann. Den Kopf in den Sand zu stecken ist also keine Lösung.” Dessen ungeachtet liegt es aber ohnehin im Interesse der Unternehmen, Datenlecks so früh wie möglich zu erkennen und zu stopfen. So lässt sich das mögliche Ausmaß des Schadens für das Unternehmen wie auch die Betroffenen erheblich reduzieren.