Checkliste: Liegt ein Fall des 42a BDSG vor?

Transkript

1 Checkliste: Liegt ein Fall des 42a BDSG vor? Weit hinten im BDSG versteckt findet man die Regelung des 42a BDSG, der verantwortliche Stellen unter bestimmten Voraussetzungen dazu verpflichtet, im Falle eines Abhandenkommens von Daten die betroffenen Personen sowie die Aufsichtsbehörde zu informieren. Um verantwortlichen Stellen die Feststellung zu erleichtern, ob ein solcher Fall vorliegt, hat der TLfDI hierfür diese Checkliste erstellt, anhand derer das Vorkommnis eingeordnet werden kann. Welche Arten von Daten sind erfasst? Zunächst einmal müssen personenbezogene Daten abhanden oder auf andere Weise Dritten zu Kenntnis gekommen sein. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. ( 3 Abs. 1 BDSG). Das können etwa äußere Merkmale einer Person sein, wie Größe, Haarfarbe, Gewicht etc. Ebenso erfasst sind geistige Zustände, also z.b. politische Einstellungen, Wünsche, oder sexuelle Präferenzen. Auch Verhaltensweisen (etwa Angaben zu Hobbies oder Reisen) und Beziehungen (Vereinsmitgliedschaften, Freunde, Beziehungsstatus) einer Person gehören dazu, ebenso der Name oder die Adresse einer Person. Allerdings sind nicht alle diese personenbezogenen Daten von 42 a BDSG geschützt, sondern nur folgende besondere Arten:

2 Besondere personenbezogene Daten im Sinne von 3 Abs. 9 BDSG: Dabei handelt es sich um Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Besondere personenbezogene Daten könnten sich zum Beispiel in einer gestohlenen Personalakte eines Arbeitnehmers befinden, in der auch Angaben über dessen Religionszugehörigkeit gemacht wurden. Daten, die einem Berufsgeheimnis unterliegen In bestimmten Berufen dürfen bei der beruflichen Tätigkeit erlangte Informationen nicht weitergegeben werden. Das ist z.b. bei Ärzten, Rechtsanwälten oder Steuerberatern der Fall. Um solche Daten könnte es sich etwa handeln, wenn ein Anwalt eine Akte versehentlich an einen falschen Mandanten sendet. Personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder entsprechende Verdachtsmomente beziehen Daten zu Bank- oder Kreditkartenkonten Dazu gehören etwa der Name des Kontoinhabers, Kontonummer, Kreditkartennummer, der Name der Bank, oder die PIN-Nummer der Konteninhaber, sowie Daten zu deren Umsätzen und Überweisungen. Das könnte etwa der Fall sein, wenn Kontoauszüge versehentlich an den falschen Empfänger gesendet werden.

3 Was muss mit den Daten geschehen sein? Es muss ein Vorfall passiert sein, bei dem Daten irgendwie abhandengekommen sind: Dies ist zum einen denkbar durch eine unrechtmäßige Übermittlung an Dritte. Übermitteln an einen Dritten bedeutet, dass die Daten gezielt an jemanden außerhalb der verantwortlichen Stelle bekannt gegeben wurden. Beispiele dafür sind etwa: - Daten werden aus Versehen an Besucher, die versehentlich für Mitarbeiter eines Unternehmens gehalten werden, weitergegeben. - Eine oder eine Postsendung, die Daten der o.g. Art enthält, wird falsch adressiert. - Daten werden aus Unkenntnis in ein Land außerhalb der europäischen Union gesendet, das über ein unsicheres Datenschutzniveau verfügt. Auch ohne eine gezielte Übermittlung können Daten unrechtmäßig an Dritte gelangen: - Klassischer Fall ist der Diebstahl von Akten oder Datenträgern, auf denen sich Daten im oben genannten Sinne befinden. - - Aber auch der Zugriff eines Mitarbeiters, der in einem anderen Bereich arbeitet und zum Zugriff auf die bestimmten Daten nicht befugt ist, führt zu dessen unrechtmäßiger Kenntniserlangung. - - Ein wichtiger Fall ist auch der versehentliche Verlust von Daten, etwa der Verlust eines Laptops mit den oben genannten Daten im öffentlichen Raum.

4 Für die Kenntniserlangung durch einen Dritten muss nicht eindeutig erwiesen sein, dass ein Dritter die Daten tatsächlich gesehen oder ausgewertet hat. Es genügt, wenn eine hohe Wahrscheinlichkeit besteht, dass dies passiert. Richtet sich die Norm überhaupt an mich/an mein Unternehmen/meine Organisation? Nach 42a BDSG ist jede sog. nicht-öffentliche Stelle verpflichtet, bei abhandengekommenen Daten Maßnahmen zu ergreifen. Nicht-öffentliche Stellen sind nach 2 Abs. BDSG natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts. Sie können also sowohl als Privatperson als auch als Unternehmen verpflichtet sein. Voraussetzung ist aber weiter, dass Sie bestimmte Arten von Daten bei sich gespeichert haben oder hatten (s.u). Ebenfalls richtet sich 42a BDSG an öffentliche Stellen, die nach 26 Thüringer Datenschutzgesetz den meisten Regelungen des BDSG unterworfen sind. Welche Beziehung muss ich/mein Unternehmen/meine Organisation zu diesen Daten haben? Sie müssen diese Daten bei sich gespeichert haben, d.h. sie auf einem Datenträger erfasst, aufgenommen oder aufbewahrt haben, um sie zu nutzen. Ein Datenträge kann dabei auch Papier sein. Wenn Sie Daten zwar nicht selbst speichern, dies aber jemand anderes in Ihrem Auftrag tut, gelten Sie nach 11 BDSG gleichwohl als die speichernde Stelle und sind für die Einhaltung des 42a BDSG verantwortlich.

5 Welche sonstigen Voraussetzungen bestehen, damit ich Benachrichtigungspflichten unterfalle? Wenn alle oben beschriebenen Merkmale auf Ihre Situation zutreffen, müssen Sie sich zuletzt fragen, ob durch den Datenverlust schwerwiegender Beeinträchtigungen für die Betroffenen drohen, d.h., ob Personen, auf die sich die Daten beziehen, dadurch irgendwelchen Nachteilen oder Gefahren ausgesetzt sein könnten. Durch die verantwortliche Stelle ist eine Prognoseentscheidung zu treffen. Sie muss die möglichen Folgen nach Lage der Dinge identifizieren und bewerten. Dabei sollten Sie jedoch keinen allzu hohen Maßstab anlegen. Die Wahrscheinlichkeit, dass Daten veröffentlicht werden oder kriminell genutzt werden, reicht aus. Dies ist bei den betroffenen Datenkategorien fast immer der Fall. Wenn ein solcher Schaden bereits eingetreten ist, müssen Sie keine Abwägung mehr vornehmen. Wenn Ihre Situation die oben genannten Voraussetzungen erfüllt, müssen Sie sowohl die Aufsichtsbehörde als auch die Betroffenen wie unten beschrieben benachrichtigen. Wenn Sie im Zweifel sind, ob Benachrichtigungen nach 42a BDSG erforderlich sind, sollten Sie lieber benachrichtigen bzw. unverzüglich bei der Behörde nachfragen. Denn nach 47 Abs. 2 Nr. 7 BDSG handelt ordnungswidrig, wer vorsätzlich oder fahrlässig entgegen 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht. Eine Zuwiderhandlung kann mit einem Bußgeld geahndet werden.

6 Wichtig für Sie: Diese Benachrichtigung selbst darf in einem Strafverfahren oder einem Verfahren wegen einer Ordnungswidrigkeit nur gegen Sie als Anzeigeerstatter oder Ihre Angehörigen verwendet werden, wenn Sie es selbst gestatten. Wen muss ich wie und wann benachrichtigen, wenn ein Fall des 42a BDSG vorliegt? Die verantwortliche Stelle treffen zweierlei Benachrichtigungspflichten, die sich im Detail voneinander unterscheiden. Benachrichtigung der Aufsichtsbehörde Zum einen müssen sie unverzüglich die Aufsichtsbehörde, d.h. den Thüringen Landesbeauftragten für den Datenschutz, über diesen Datenverlust informieren. Unverzüglich bedeutet daher, ohne schuldhaftes Zögern. In der Regel geht man hier von einer Frist von drei Tagen aus. In Einzelfällen kann diese aber auch länger sein. Bitte schildern Sie dabei zunächst, um welche Art von Daten es sich handelt und wie und warum diese abhandengekommen sind. Zudem sind sie verpflichtet, der Behörde gegenüber eine Gefahrenprognose anzustellen. Dabei müssen Sie angeben, welche nachteiligen Folgen die unrechtmäßige Kenntniserlangung für die Betroffenen haben könnte. Zudem müssen Sie der Behörde gegenüber angeben, was haben Sie bislang unternommen haben, um diese Folgen zu verhindern oder zumindest abzumildern.

7 Benachrichtigung der Betroffenen Zum anderen sind Sie verpflichtet, die Betroffenen zu informieren, d.h. die Personen, auf die sich die Daten beziehen. Auch dies muss so schnell wie möglich erfolgen, d.h. unmittelbar nachdem Sie alle Notfallmaßnahmen ergriffen haben, um Schäden zu verhindern. Auch dabei müssen Sie schildern, was geschehen ist. Zudem sind Sie verpflichtet, den Betroffenen Hilfestellungen zu geben, wie diese sich vor Gefahren schützen können. Beispiel: Wenn etwa Passwörter verlorengegangen sind, könnten Sie den Betroffenen schildern, wie diese Ihre Konten sperren oder Passwörter ändern können. Sollten Ihnen die Daten einer so großen Anzahl an Personen abhandengekommen sein, dass die Benachrichtigung jeder einzelnen Person einen unverhältnismäßigen Aufwand darstellen sollte, können Sie alternativ eine öffentliche Benachrichtigung mit den oben genannten Inhalten vornehmen. Erlaubt ist, die Benachrichtigung in einer Größe von mindestens einer halben Seite in zwei bundesweit erscheinenden Tageszeitungen zu veröffentlichen. Falls Ihnen ein anderes Medium zur Verfügung steht, dass die Betroffenen ebenso gut erreicht, etwa eine Website, können Sie auch dieses nutzen. Wenn Sie unsicher sind: Im Zweifel den TLfDI fragen!