Haftung und Sanktionen bei Datenschutzverstößen – negative Außenwirkung und Publicity
Neben der Veröffentlichung von bekannt gewordenen Datenschutzskandalen in den Medien und einer Erwähnung in den Tätigkeitsberichten der jeweiligen Datenschutz-Aufsichtsbehörden besteht seit dem Jahr 2009 eine Informationspflicht einer datenverarbeitenden Stelle gemäß § 42a BDSG bei bestimmten Datenschutzverstößen.
Die Intention des § 42a BDSG beschränkt sich auf Datenschutzverletzungen bezüglich besonders „sensibler“ Daten. Hierunter versteht der Gesetzgeber in § 42a BDSG zum einen
- die besonderen Arten personenbezogener Daten gemäß § 3 Abs. 9 BDSG,
- zum anderen personenbezogene Daten, welche einem Berufsgeheimnis unterliegen, wie z.B. Ärzten, Steuerberatern, Rechtsanwälten, Apothekern, sonstigen Angehörigen eines Heilberufs (der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert), Berufspsychologin mit staatlich anerkannter wissenschaftlicher Abschlussbildung, Wirtschaftsprüfer, vereidigte Buchprüfer, Ehe-, Familien-, Erziehungs- oder Jugendberater, staatlich anerkannte Sozialarbeiter, Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung, usw.),
- oder personenbezogenen Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder entsprechende Verdachtsmomente beziehen oder
- bei personenbezogenen Daten zu Bank- oder Kreditkartenkonten (Bsp: Name der Bank, Kontonummer, Kreditkartendaten, Passwörter für das online-Banking).
Diese Daten müssen von der verantwortlichen Stelle entweder unrechtmäßig übermittelt worden sein oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sein. Dies kann jeder Angriff von außen sein, aber auch eine rechtswidriger Zugriff durch nicht zugriffsberechtigte Mitarbeiter. Von einer unrechtmäßigen Kenntniserlangung Dritter ist auch bei einem Datenverlust auszugehen, wenn die Daten nicht hinreichend verschlüsselt waren.
Weiterhin erforderlich ist, dass schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdige Interessen der des Betroffenen drohen. Dies können nach der Vorstellung des Gesetzgebers zum Beispiel materielle Schäden bei Kreditkarteninformationen seien oder dass soziale Nachteile einschließlich des Identitätsbetrugs drohen. Hier hat die verantwortliche Stelle eine Gefahrenprognose zu erstellen, das bedeutet dass an einer Eintrittswahrscheinlichkeit des Schadens umso geringere Anforderungen zu stellen sind je höher der drohende Schaden beim Betroffenen ausfallen könnte.
Rechtsfolge ist die Pflicht der verantwortlichen Stelle, die zuständige Aufsichtsbehörde sowie den Betroffenen über den Datenschutzverstoß zu informieren, nachdem entsprechende Maßnahmen zur Sicherung der Daten ergriffen wurden. Hierbei muss der Betroffene umfänglich über das Ausmaß des Datenschutzverstoßes informiert werden und ihm auch Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen des Datenschutzverstoßes erteilt werden (z.B. Änderung der Passwörter, Kontrolle der Kontoauszüge auf rechtswidrige Abbuchungen, usw.). Der zuständigen Datenschutz-Aufsichtsbehörde müssen darüber hinaus noch die drohenden nachteiligen Folgen an der unrechtmäßigen Kenntniserlangung dargelegt werden als auch eine Beschreibung, welche konkreten Maßnahmen nach Kenntniserlangung des Datenschutzverstoßes ergriffen wurden.
Erscheint eine Einzelbenachrichtigung jedes Betroffenen unverhältnismäßig – insbesondere aufgrund der Vielzahl der Fälle – kann die verantwortliche Stelle ihrer Informationspflicht durch Medienanzeigen genüge tun, die mindestens eine halbe Seite umfassen müssen in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeigneten Maßnahmen. Letzteres können zum Beispiel bei regional begrenzten Verstöße auch eine Veröffentlichung in regionalen Zeitungen sein oder gegebenenfalls durch Veröffentlichungen im Internet.
Zu beachten ist, dass die Informationspflicht nach § 42a BDSG bei einer Auftragsdatenverarbeitung den Auftraggeber trifft. Darüber hinaus ist ein Verstoß gegen § 42a BDSG bußgeldbewährt gemäß § 43 Abs. 2 Nr. 7 BDSG. Denkbar ist auch, dass Betroffene Schadensersatzansprüche gegen die verantwortliche Stelle wegen Unterlassung einer Information entsprechend § 42a BDSG geltend machen können, sofern ein Schaden bei Kenntnis des Datenschutzverstoßes für den Betroffenen vermeidbar gewesen wäre.
Rechtsanwalt Thomas Steinle, LL.M.
Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK)
Karlsruhe