Christoph Ohrmann. Meldepflichten bei Datenpannen (Data Breach) - Leseprobe -

Transkript

1 Christoph Ohrmann Meldepflichten bei Datenpannen (Data Breach)

2 Übersicht über die Arbeitshilfen vertragszusatz.doc Musterformulierung Zusatz zum Vertrag zur Auftragsdatenverarbeitung maßnahmen.doc ersterfassung.doc Das Klammersymbol Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie. Detaillierte bibliografische Daten sind im Internet über abrufbar. ISBN by TÜV Media GmbH, TÜV Rheinland Group, TÜV, TUEV und TUV sind eingetragene Marken der TÜV Rheinland Group. Eine Nutzung und Verwendung bedarf der vorherigen Zustimmung durch das Unternehmen. Gesamtherstellung: TÜV Media GmbH, Köln 2012 Checkliste Maßnahmen zur Vorbeugung von und zum Umgang mit erfolgten Datenpannen Mustervorlage Ersterfassung einer vermuteten Datenpanne im Text verweist auf die entsprechende Datei im Anhang. Den Inhalt dieses E-Books finden Sie auch in dem Handbuch Information Security Management, TÜV Media GmbH, Köln. Die Inhalte dieses E-Books wurden von Autor und Verlag nach bestem Wissen und Gewissen erarbeitet und zusammengestellt. Eine rechtliche Gewähr für die Richtigkeit der einzelnen Angaben kann jedoch nicht übernommen werden. Gleiches gilt auch für Websites, auf die über Hyperlinks verwiesen wird. Es wird betont, dass wir keinerlei Einfluss auf die Inhalte und Formulierungen der verlinkten Seiten haben und auch keine Verantwortung für sie übernehmen. Grundsätzlich gelten die Wortlaute der Gesetzestexte und Richtlinien sowie die einschlägige Rechtssprechung.

3 Meldepflichten bei Datenpannen (Data Breach) 42a BDSG verpflichtet die datenverarbeitenden, verantwortlichen Stellen, bestimmte Datenpannen unverzüglich den Datenschutzaufsichtsbehörden zu melden und die betroffenen Personen, deren Daten abhanden gekommen sind, zu informieren. Eine Verletzung der Meldepflicht kann zu erheblichen Haftungs- und Bußgeldrisiken führen. Anforderungen an die Zertifizierer Das vorliegende E-Book erklärt, welche Datenschutzverletzungen die gesetzliche Meldepflicht auslösen, und erläutert, wie sich das betriebliche Datenschutzmanagement auf den Ernstfall vorbereiten kann. Einleitung Arbeitshilfen: Musterformulierung Zusatz zum Vertrag zur Auftragsdatenverarbeitung Checkliste Maßnahmen zur Vorbeugung von und zum Umgang mit erfolgten Datenpannen Mustervorlage Ersterfassung einer vermuteten Datenpanne Autor: Christoph Ohrmann IT-Security, Datenschutz und Datensicherheit sollten in jedem Unternehmen beim Umgang mit personenbezogenen Daten selbstverständlich sein. Doch auch die beste technische und organisatorische Vorsorge kann in Verbindung mit dem Faktor Mensch bzw. Zufall keine einhundertprozentige Sicherheit der Daten garantieren. Neue Arbeitsformen wie bring your own device und neue Nutzungsformen wie Cloud Computing erschweren zusätzlich die umfassende Kontrolle und Sicherheit der im Unternehmen verarbeiteten Daten. Data Breach Falls der Worst Case, sprich eine Verletzung des Schutzes personenbezogener Daten, ein sogenannter Data Breach, eintritt, gilt es insbesondere darüber informiert zu sein, welche Maßnahmen in Bezug auf etwaige erforderliche Mitteilungen an die zuständigen Aufsichtsbehörden bzw. an die betroffenen Personen zu ergreifen sind. TÜV Media GmbH Seite 1

4 1 Rechtliche Grundlagen 1.1 Bundesdatenschutzgesetz 42a BDSG TMG, TKG, SGB Zum 1. September 2009 traten im Rahmen der BDSG- Novelle II zahlreiche Änderungen in Kraft. Unter anderem wurden für datenverarbeitende Privatunternehmen Informationspflichten eingeführt, wenn durch eine Datenpanne Dritte unrechtmäßig Kenntnis von personenbezogenen Daten erlangen. Als Vorbild für diese Informations- bzw. Meldepflicht dienten Regelungen aus dem US-amerikanischen Recht, die sog. Security Breach Notifications. Die zentrale Norm zur Meldepflicht findet sich im Bundesdatenschutzgesetz, in 42a BDSG. 1.2 Spezialgesetze Auf die Rechtsfolgen dieser Grundnorm verweisen die spezialgesetzlich im Telemedien- und Telekommunikationsgesetz sowie im Sozialgesetzbuch verankerten Meldepflichten. 15a TMG betrifft alle Anbieter von Telemedien bzw. solchen, die den Zugang zur Nutzung vermitteln. In Betracht kommen im kommerziellen Bereich vor allem Portalbetreiber (z. B. Auktionsplattformen, Internet-Shops), aber auch jede(s) Person oder Unternehmen, die/das auf von Dritten betriebenen Verkaufsplattformen gewerbliche Angebote einstellt und Waren oder Dienstleistungen anbietet. 93 Abs. 3 TKG betrifft Anbieter, die geschäftsmäßig Telekommunikationsdienste erbringen, z. B. Internet- und Mobilfunkprovider. Schließlich regelt 83a SGB X eine Meldepflicht für Sozialleistungsträger wie Krankenkassen, Pflegekassen, Berufsgenossenschaften oder Unfallkassen. TÜV Media GmbH Seite 2

5 Managementorientierung Spezialvorschrift Verschärfte Regelung 1.3 BDSG-E Der Gesetzgeber möchte den Beschäftigtendatenschutz in einem eigenen Abschnitt des BDSG neu regeln. Im Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes (BR-Drs. 535/10) findet sich die spezielle Vorschrift des 32j BDSG-E, die eine spezielle Meldepflicht für Arbeitgeber vorsieht. Soweit der Entwurf Gesetz wird, verdrängt daher 32j BDSG die Grundnorm des 42a BDSG. Ob 32j BDSG-E bzw. der Entwurf unverändert Gesetz wird und wann bzw. ob überhaupt der Beschäftigtendatenschutz neu geregelt wird, ist allerdings zum Stand dieser Veröffentlichung noch nicht absehbar. Der Entwurf enthält im Vergleich zur allg. Regelung des 42a BDSG eine wesentliche Verschärfung der Meldepflicht für Arbeitgeber. So sind die von der Datenpanne betroffenen Mitarbeiter unverzüglich zu benachrichtigen, und zwar auch dann, wenn schwerwiegende Beeinträchtigungen ihrer Rechte und schutzwürdigen Interessen nicht zu erwarten sind (vgl. hierzu im Folgenden Ziffer 6). Jede unrechtmäßige Datenverarbeitung, d. h. im Konzernverbund jede unrechtmäßige Übermittlung an verbundene Unternehmen, löst die Meldepflicht an die Betroffenen aus. Entsprechend 42a BDSG ist der Arbeitgeber verpflichtet, die Datenpanne zusätzlich auch der Aufsichtsbehörde zu melden. Bezüglich der Anforderungen an die Meldung verweist 32j S. 2 BDSG-E insoweit auf die Vorgaben des 42a S. 3, 4 und 6 BDSG. 2 Betroffene Daten Sobald das datenverarbeitende Unternehmen durch eigene Mitarbeiter wie den Datenschutzbeauftragten, Subunternehmer, die Aufsichtsbehörde oder aus anderen Quellen den TÜV Media GmbH Seite 3

6 Nicht jede Datenpanne führt zur Informationspflicht Als besonders sensibel bewertete Daten 1. Kategorie 2. Kategorie Verdacht einer Datenpanne hat, gilt es zunächst, die Art der betroffenen Daten festzustellen. Denn nicht jede Datenpanne führt zu einer entsprechenden Informationspflicht der Betroffenen und der Aufsichtsbehörde. Nur der Verlust bestimmter personenbezogener Daten einer der folgenden Kategorien ( 42a S. 1 Nr. 1 bis Nr. 4 BDSG), der so genannten Risikodaten, wird vom Gesetzgeber als besonders sensibel bewertet und löst eine Meldepflicht aus. 2.1 Besondere Arten personenbezogener Daten Gemäß 3 Abs. 9 BDSG sind besondere Arten personenbezogener Daten Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Relevante Anwendungsfälle sind z. B. der Verlust medizinischer Daten durch Ärzte, Krankenhäuser oder Versicherungen oder der Verlust von Daten aus der Personalakte von Mitarbeitern. Informationen über Krankschreibungen und Krankheitstage sind sensible Gesundheitsdaten, die sich in einer Personalakte ebenso wie Lohnsteuerunterlagen und Religionszugehörigkeit befinden können. 2.2 Berufsgeheimnis Zur zweiten Kategorie zählen personenbezogenen Daten, die einem Berufsgeheimnis, d. h. einer rechtlichen Verpflichtung zur Verschwiegenheit, unterliegen. Der Berufsgeheimnisträger, z. B. Rechtsanwalt, darf die ihm von seinem Mandanten anvertrauten Informationen nur offenbaren, wenn dieser zugestimmt hat. Zu den Berufsgeheimnisträgern zählen gemäß 230 StGB u. a. Ärzte, Apotheker, Psychologen, Sozialarbeiter, Notare, aber auch Angehörige eines Unternehmens der privaten Kranken-, Unfall- oder Lebensver- TÜV Media GmbH Seite 4