Zwei Jahre Informationspflichten bei Datenpannen
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit:
Zwei Jahre Informationspflichten bei Datenpannen
Quelle: Virtuelles Datenschutzbüro, http://www.datenschutz.de/news/detail/?nid=5069
Zum zweijährigen Bestehen der Informationspflicht bei Datenschutzpannen zeigt sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar zufrieden mit der neuen Regelung, fordert aber deren Erstreckung auf staatliche Stellen:
Die Schaffung einer Informationspflicht bei Datenschutzpannen war ein richtiger Schritt. Die Publizitätspflicht motiviert die verantwortlichen Stellen, mehr für die Datensicherheit und den Datenschutz zu tun, und versetzt die Betroffenen in die Lage, negative Konsequenzen rechtzeitig abzuwenden und Sicherheitsmaßnahmen zu ergreifen. Leider ist der Gesetzgeber auf halber Strecke stehen geblieben, indem er staatliche Stellen von der allgemeinen Informationspflicht bei Datenschutzpannen ausgenommen hat. Es ist nicht nachvollziehbar, warum das Gesetz bei Datenschutzverstößen öffentlicher und privater Stellen unterschiedliche Maßstäbe anlegt. Hier besteht weiterer Nachbesserungsbedarf.
Nach einer bundesweiten Erhebung wurden den Datenschutzaufsichtsbehörden des Bundes und der Länder in den ersten 18 Monaten nach Inkrafttreten der Informationspflichten fast 90 Fälle gemeldet. In der überwiegenden Zahl handelte es sich um den Diebstahl oder Verlust von mobilen Datenträgern, wie Notebooks und USB-Sticks, oder um Fehlversendungen von E-Mails und Briefen. Daneben gab es Fälle des Ausspähens von Bankdaten (Skimming) und Datenverluste durch Hacking. Betroffen waren in aller Regel Bankverbindungs- und Kreditkartendaten, zum Teil aber auch besonders sensible Daten, wie Gesundheitsdaten.
Dazu Schaar: Die Anzahl der bundesweit gemeldeten Fälle belegt, dass die Informationspflicht bei Datenschutzpannen von den verantwortlichen Stellen ernst genommen wird. Dennoch gehe ich von einer hohen Dunkelziffer nicht gemeldeter Vorfälle aus. Häufig ist auch die Kommunikation der verantwortlichen Stellen gegenüber der Öffentlichkeit und den Datenschutzbehörden noch stark verbesserungsbedürftig.
Seit dem 1. September 2009 müssen nicht-öffentliche Stellen und ihnen gleich gestellte öffentlich-rechtliche Wettbewerbsunternehmen gravierende Datenschutzpannen der zuständigen Aufsichtsbehörde anzeigen sowie die Betroffenen informieren und ihnen Handlungsempfehlungen unterbreiten. § 42a des Bundesdatenschutzgesetzes sieht eine solche Informationspflicht vor, wenn sensible personenbezogene Daten unrechtmäßig in die Hände Dritter gelangt sind und schwerwiegende Beeinträchtigungen für die Betroffenen drohen. Bei einem Verstoß gegen § 42a des Bundesdatenschutzgesetzes droht ein Bußgeld von bis zu dreihunderttausend Euro oder sogar mehr.