Zwei Jahre Informationspflicht bei Datenpannen

Seit dem 1. September 2009 müssen Unternehmen gravierende Datenschutzpannen der zuständigen Aufsichtsbehörde anzeigen sowie die Betroffenen informieren und ihnen Handlungsempfehlungen unterbreiten. § 42a des Bundesdatenschutzgesetzes sieht eine solche Informationspflicht vor, wenn vertrauliche personenbezogene Daten unrechtmäßig in die Hände Dritter gelangt sind und schwerwiegende Beeinträchtigungen für die Betroffenen drohen. Bei einem Verstoß gegen § 42a des Bundesdatenschutzgesetzes droht ein Bußgeld von bis zu dreihunderttausend Euro oder mehr.

“Die Anzahl der gemeldeten Fälle belegt, dass die Pflicht von den verantwortlichen Stellen ernst genommen wird”, so Schaar. Dennoch gehe er von einer hohen Dunkelziffer nicht gemeldeter Vorfälle aus. Häufig sei auch die Kommunikation der verantwortlichen Stellen gegenüber der Öffentlichkeit und den Datenschutzbehörden verbesserungsbedürftig.

Nach einer bundesweiten Erhebung wurden den Behörden des Bundes und der Länder in den ersten 18 Monaten nach Inkrafttreten der Informationspflicht fast 90 Fälle gemeldet. In der überwiegenden Zahl handelte es sich um den Diebstahl oder Verlust von mobilen Datenträgern, wie Notebooks und USB-Sticks oder um Fehlversendungen von E-Mails und Briefen. Daneben gab es Fälle des Ausspähens von Bankdaten (Skimming) und Datenverluste durch Hacking. Betroffen waren in aller Regel Bankverbindungs- und Kreditkartendaten, zum Teil aber auch besonders vertrauliche Daten, wie Gesundheitsdaten.

Die Schaffung einer Informationspflicht bei Datenschutzpannen sei ein richtiger Schritt gewesen. Schaar: “Leider ist der Gesetzgeber auf halber Strecke stehen geblieben, indem er staatliche Stellen von der allgemeinen Informationspflicht ausgenommen hat. Es ist nicht nachvollziehbar, warum das Gesetz bei Verstößen öffentlicher und privater Stellen unterschiedliche Maßstäbe anlegt. Hier besteht Nachbesserungsbedarf.”