Informationspflicht kann Image kosten
Kernpunkt der Gesetzesänderung ist eine Regelung, der zufolge sowohl die von Datenschutzverletzungen Betroffenen als auch die Datenschutzbehörden nach eventuellen Datenverlusten möglichst rasch benachrichtigt werden müssen. Diese Informationspflicht ist eine Reaktion auf die Skandale des Sommers 2008. Damals wurde publik, dass seriöse Unternehmen wie die Deutsche Telekom nicht ausreichend sorgfältig für die Sicherheit ihrer Kundendaten gesorgt hatten. Also konnten beispielsweise Call-Center-Betreiber diese Daten für zweifelhafte Geschäftspraktiken nutzen. Zu den abhanden gekommenen Informationen zählten neben persönlichen Merkmalen wie Name, Alter, Wohnort oder Geschlecht teilweise auch die Kontodaten.
Diese Fälle zeigten: Bei einer Datenschutzverletzung ist - ähnlich wie beim Verlust einer EC- oder Kreditkarte - Eile geboten: Je eher die Betroffenen ihre Bank informieren können, desto eher lassen sich Gegenmaßnahmen einleiten und mögliche Schäden verhindern.
Deshalb hat der Gesetzgeber in der Novelle des Bundesdatenschutzgesetzes (BDSG) eine Meldepflicht im Falle von Datensicherheitsverletzungen vorgesehen (Paragraf 42a des Entwurfs). Diese Regelung orientiert sich zum einen an den in den USA bereits seit Jahren gesetzlich verankerten Vorschriften zur "Security Breach Notification", zum anderen an einem Richtlinienvorschlag der Europäischen Kommission (KOM (2007) 698 endg.).
Die Meldepflicht gilt unter anderem dann, wenn folgende Informationen in Umlauf gelangt sind:
-
Daten zu Bank- und Kreditkartenkonten;
-
Bestands-, Nutzungs- und Verkehrsdaten nach dem TMG und TKG (Telemedien- und Telekommunikationsgesetz), also alle von TK- oder Internet-Serviceanbietern gespeicherten Daten;
-
Daten, die einem Berufsgeheimnis unterliegen, etwa von Ärzten oder Anwälten.
Betroffen sind also praktisch alle Unternehmen, die mit Kundendaten zu tun haben. Die Neufassung des BDSG fordert nun, dass die Unternehmen die jeweils zuständige Aufsichtsbehörde sowie ihre Kunden unaufgefordert informieren, wenn unbefugte Dritte Kenntnis von den vorgenannten Daten erlangt haben.
Bußgelder in empfindlicher Höhe drohen
Das ist ganz offensichtlich der Fall, wenn Daten kopiert und weiterverbreitet werden. Denkbar ist aber auch, dass ein im Zug reisender Außendienstmitarbeiter während einer kurzen Abwesenheit seinen ungesicherten Laptop am Platz stehen lässt oder wenn ein Datenträger (etwa ein USB-Stick oder ein PDA) abhanden kommt. Schon in diesem Fall ist eine meldepflichtige Datensicherheitsverletzung denkbar.
Dieser Fall kann zudem besonders pikante Folgen haben: Ist es organisatorisch nicht möglich, alle potenziell von dem Datenverlust Betroffenen zu informieren, so muss die Allgemeinheit von der Verletzung der Datensicherheit erfahren. Das soll nach dem Willen des Gesetzgebers durch Anzeigen in bundesweit erscheinenden Tageszeitungen geschehen. Abgesehen vom finanziellen Schaden wäre der Imageverlust für das Unternehmen, as eine solche Anzeige schaltet, enorm. Sollte es den Informationspflichten nicht nachkommen, so drohen ihm Bußgelder bis 300.000 Euro. (Siehe auch: "Wehe, wenn der Prüfer kommt".)