Datenpanne – Was ist zu tun?

Anbieter zum Thema

Janitza electronics GmbH

Rittal GmbH & Co. KG

Data Center Group – Büro Köln

econique business masters GmbH & Co. KG

Wann muss über die Datenpanne informiert werden?

Nach dem Gesetz muss die Benachrichtigung unverzüglich erfolgen, sobald Maßnahmen zur Sicherung der Daten ergriffen worden sind, oder eine Strafverfolgung nicht mehr gefährdet wird.

Hier heißt es für jedes Unternehmen schnell zu handeln. So wurde beispielsweise bei einem letzten großen Datenschutzskandal, bei dem etliche Bank- und Kreditkarteninformationen der Kunden abhanden gekommen waren, es nicht für ausreichend angesehen, wenn die Kunden erst fünf Tage nach Bekanntwerden der Datenpanne informiert wurden. Hier waren die Aufsichtsbehörden der Meinung, dass dies nicht mehr unverzüglich sei. Dem betreffenden Unternehmen wurde daher ein Bußgeld in Höhe von 300.000 Euro auferlegt.

Mithin ist jedem Unternehmen zu empfehlen, falls der unangenehme Fall einer Datenpanne eintritt, schnell zu handeln und schnellstmöglich den Informationspflichten nachzukommen.

Muss jeder Einzelne informiert werden?

Grundsätzlich ist jeder Betroffene individuell – zum Beispiel per Brief oder E-Mail – zu benachrichtigen. Ist dies nur mit einem unverhältnismäßigen Aufwand möglich, dann kann die Information auch durch eine Veröffentlichung in Tageszeitungen oder gleich geeignete Maßnahmen erfolgen. Unverhältnismäßig ist der Aufwand immer dann, wenn eine Vielzahl von Personen betroffen ist.

Sofern also erhebliche Mengen von Daten abhanden gekommen sind, kann das Unternehmen auch die Betroffenen durch eine Information der Öffentlichkeit in Tageszeitungen unterrichten. Mindestens muss dies durch Anzeigen (halbseitig) in zwei bundesweit erscheinenden Tageszeitungen erfolgen.

Bei der Brisanz, die solche datenschutzrechtliche Vorfälle mittlerweile in den Medien haben, ist aber damit zu rechnen, dass eine solche Datenpanne über sämtliche Medien ausgewertet wird, insbesondere wenn es sich um ein bekanntes Unternehmen handelt.

Über was muss informiert werden?

Grundsätzlich muss darüber informiert werden, wie die Daten abhanden gekommen sind. Darüber hinaus sollte die Mitteilung eine Empfehlung für Maßnahmen zur Minderung möglicher Nachteile enthalten.

Was passiert, wenn die Unterrichtungspflicht nicht beachtet wird?

Verstößt ein Unternehmen gegen seine Informationspflichten oder erfolgt die Information nicht unverzüglich, ist mit Bußgeldern bis zu 300.000 Euro zu rechnen.

Was ist sonst noch zu beachten?

Grundsätzlich sollte bei einem Datenschutzvorfall unbedingt der Datenschutzbeauftragte des Unternehmens eingebunden werden. Generell ist auch zu empfehlen, schon im Vorfeld gemeinsam mit dem Datenschutzbeauftragten Strategien zu entwickeln, wie im Fall der Fälle vorgegangen wird. Nur dann kann ein Krisenmanagement effektiv sein und Unternehmen davor bewahren, Bußgelder zu zahlen und insbesondere, dass ihr Ruf und Image aufgrund einer Datenpanne unnötig geschädigt wird.

Die Autorin:

Kathrin Schürmann ist seit 2007 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen der Film-, Fernseh- und Verlagsbranche sowie Agenturen, Autoren und Kreativschaffende in allen Fragen des Urheber-, Presse-, Film-, Verlags- und Medienrechts. Ein weiterer Schwerpunkt liegt in der Beratung von Unternehmen in datenschutzrechtlichen Angelegenheiten sowie in der Betreuung von Unternehmen aus dem Bereich der Neuen Medien in Fragen des IT- und Internetrechts.

(ID:36023500)